blob: 92897ebaf97c4410f656aa4fb1121d05667cfc01 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
|
---
title: 'CSP: block-all-mixed-content'
slug: Web/HTTP/Headers/Content-Security-Policy/block-all-mixed-content
tags:
- CSP
- Content-Security-Policy
- Directive
- HTTP
- Mixed Content
- Reference
- Security
- Sécurité
- block-all-mixed-content
translation_of: Web/HTTP/Headers/Content-Security-Policy/block-all-mixed-content
---
<div>{{HTTPSidebar}}</div>
<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>block-all-mixed-content</strong></code> bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS.</p>
<p>Toutes les requêtes vers des <a href="/fr/docs/Sécurité/MixedContent">contenus mixtes</a> sont alors bloquées, y compris les ressources actives et passives. Cela s'applique aussi aux documents {{HTMLElement("iframe")}}, assurant que la page est complètement protégée contre les contenus mixtes.</p>
<div class="note">
<p><strong>Note :</strong> La directive {{CSP("upgrade-insecure-requests")}} est évaluée avant <code>block-all-mixed-content</code>. Si elle est définie, alors <code>block-all-mixed-content</code> n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p>
</div>
<h2 id="Syntaxe">Syntaxe</h2>
<pre class="syntaxbox">Content-Security-Policy: block-all-mixed-content;</pre>
<h2 id="Exemples">Exemples</h2>
<pre>Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
</pre>
<p>Pour interdire l'usage de HTTP de manière plus fine, vous pouvez aussi configurer individuellement chaque directive sur <code>https:</code>. Par exemple, pour interdire les images HTTP non sécurisées :</p>
<pre>Content-Security-Policy: img-src https:</pre>
<h2 id="Spécifications">Spécifications</h2>
<table class="standard-table">
<tbody>
<tr>
<th scope="col">Specification</th>
<th scope="col">Statut</th>
<th scope="col">Commentaire</th>
</tr>
<tr>
<td>{{specName("Mixed Content", "#block-all-mixed-content", "block-all-mixed-content")}}</td>
<td>{{Spec2('Mixed Content')}}</td>
<td>Définition initiale.</td>
</tr>
</tbody>
</table>
<h2 id="Compatibilités_navigateurs">Compatibilités navigateurs</h2>
<p>{{Compat("http.headers.csp.block-all-mixed-content")}}</p>
<h2 id="Voir_également">Voir également</h2>
<ul>
<li>{{HTTPHeader("Content-Security-Policy")}}</li>
<li>{{CSP("upgrade-insecure-requests")}}</li>
<li><a href="/en-US/docs/Web/Security/Mixed_content">Mixed content</a></li>
</ul>
|
