指令

[15] CSP の指令CSP指令 block-all-mixed-content は、値が空文字列です。 >>7

[16] block-all-mixed-content は混合内容Mixed Content制約の厳密モードの適用を指示するものです。

[8] 文書は混合内容Mixed Content制約に関する厳密モードstrict modeか否かとなります。 >>7

[9] 文書と閲覧文脈は、厳密混合内容検査フラグstrict mixed content checking flag を持ちます。既定値は偽です。 >>7

[10] 厳密混合内容検査フラグは、次のような効果を持ちます。 >>7

[11] 任意選択的ブロック可能な混合内容は、ブロック可能な混合内容同様に扱われます。
[12] 利用者の指示Webブラウザー利用者の設定によりブロック可能な混合内容を読み込む手段が提供されなくなります。
[13] 混合内容が含まれることの利用者への提示がなくなります。アドレスバー
[14] 入れ子閲覧文脈にも同じ効果が継承されます。

処理

[17] block-all-mixed-content 指令CSP指令の初期化指令初期化は、文書または大域オブジェクト文脈、 応答、 方針を、次のようにします。 >>7

[18] 方針の配置が enforce でない場合、
1. [19] ここで停止します。
[20] 文脈の厳密混合内容検査フラグを、真に設定します。

[21] 新しい閲覧文脈の作成と navigate でこのフラグもコピーされます。

[22] このフラグは Should fetching request be blocked as mixed content? で参照されます。

[24] HSTS によりこのフラグを設定することも認められています。 [SEE{ Mixed Content ]]

[23] この指令が CSPリストに存在するかは Should fetching request be blocked as mixed content? で参照されます。

歴史

[1] block-all-mixed-content directive on an HTTP page (Tanvi Vyas 著, 2016-03-22 08:35:22 +09:00 版) https://lists.w3.org/Archives/Public/public-webappsec/2016Mar/0064.html

[2] Add reporting to 'block-all-mixed-content'. ( (mikewest著, 2016-05-23 16:54:58 +09:00)) https://github.com/w3c/webappsec-mixed-content/commit/e9c559c6672e3219a0c1f6f4f7c5c187f3d51377

[3] IANA. ( (mikewest著, 2016-05-23 16:57:05 +09:00)) https://github.com/w3c/webappsec-mixed-content/commit/419ffcb005338f324f4f44d6b5c2db38d70f03e0

[4] 1122236 – Implement block-all-mixed-content CSP directive (2016-07-05 10:47:55 +09:00) https://bugzilla.mozilla.org/show_bug.cgi?id=1122236

[5] Removing hard-coded links. (mikewest著, 2017-10-23 17:18:00 +09:00) https://github.com/w3c/webappsec-mixed-content/commit/79c62b3a051019ce00bf98690ece0baf69c00210

[6] Add MIX level 2 skeleton by estark37 · Pull Request #21 · w3c/webappsec-mixed-content (2020-01-12 16:30:29 +09:00) https://github.com/w3c/webappsec-mixed-content/pull/21

仕様書

指令

処理

歴史