背景与价值混合内容会破坏HTTPS保障并引入风险。启用自动升级与阻断策略可提升整体安全水平。统一规范自动升级:`upgrade-insecure-requests`。全阻断:`block-all-mixed-content`,在严格场景使用。资源治理:确保所有外部资源支持HTTPS。核心实现头设置type Res = { setHeader: (k: string, v: string) => void } function setMixedContentCsp(res: Res, strict = false) { const base = strict ? "upgrade-insecure-requests; block-all-mixed-content" : "upgrade-insecure-requests" res.setHeader('Content-Security-Policy', base) } 落地建议先启用自动升级并清理不支持HTTPS的资源,逐步启用全阻断。验证清单是否下发自动升级与阻断策略;外部资源是否已支持HTTPS。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复