1. Web
  2. HTTP
  3. Référence
  4. En-têtes
  5. Content-Security-Policy
  6. block-all-mixed-content

Cette page a été traduite à partir de l'anglais par la communauté. Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.

View in English Always switch to English

Content-Security-Policy : directive block-all-mixed-content

Obsolète: Cette fonctionnalité n'est plus recommandée. Même si certains navigateurs la prennent encore en charge, elle a peut-être déjà été supprimée des standards du web, est en passe d'être supprimée ou n'est conservée qu'à des fins de compatibilité. Évitez de l'utiliser et mettez à jour le code existant si possible ; consultez le tableau de compatibilité au bas de cette page pour vous aider à prendre votre décision. Sachez que cette fonctionnalité peut cesser de fonctionner à tout moment.

Attention : Cette directive est marquée comme obsolète dans la spécification. Cette directive était auparavant utilisée pour empêcher le contenu mixte « optionnellement bloquable » d'être récupéré de manière non sécurisée et affiché. Le contenu qui n'est pas bloqué est désormais toujours mis à niveau vers une connexion sécurisée, donc cette directive n'est pas nécessaire.

La directive HTTP Content-Security-Policy (CSP) block-all-mixed-content bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS.

Toutes les requêtes vers des contenus mixtes sont alors bloquées, y compris les ressources actives et passives. Cela s'applique aussi aux documents <iframe>, assurant que la page est complètement protégée contre les contenus mixtes.

Note : La directive upgrade-insecure-requests est évaluée avant block-all-mixed-content. Si elle est définie, alors block-all-mixed-content n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.

Syntaxe

http
Content-Security-Policy: block-all-mixed-content;

Exemples

http
Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

Pour interdire l'usage de HTTP de manière plus fine, vous pouvez aussi configurer individuellement chaque directive sur https:. Par exemple, pour interdire les images HTTP non sécurisées :

http
Content-Security-Policy: img-src https:

Spécifications

Ne fait partie d'aucune spécification actuelle. Était défini dans l'ancienne spécification Mixed Content Level 1 (angl.).

Compatibilité des navigateurs

Voir aussi

Aider à améliorer MDN

Apprendre à contribuer

Cette page a été modifiée le par les contributeur·ice·s du MDN.

Voir cette page sur GitHubSignaler un problème avec ce contenu