strict mode

block-all-mixed-content (CSP)

仕様書

[7] Mixed Content, 2020-04-28 21:05:56 +09:00 https://w3c.github.io/webappsec-mixed-content/#strict-checking

指令

[15] CSP の指令 block-all-mixed-content は、値が空文字列です。 >>7

[16] block-all-mixed-content は混合内容制約の厳密モードの適用を指示するものです。

[8] 文書は混合内容制約に関する厳密モード (strict mode) か否かとなります。 >>7

[9] 文書と閲覧文脈は、厳密混合内容検査フラグ (strict mixed content checking flag) を持ちます。既定値は偽です。 >>7

[10] 厳密混合内容検査フラグは、次のような効果を持ちます。 >>7

[11] 任意選択的ブロック可能な混合内容は、ブロック可能な混合内容同様に扱われます。
[12] 利用者の指示によりブロック可能な混合内容を読み込む手段が提供されなくなります。
[13] 混合内容が含まれることの利用者への提示がなくなります。アドレスバー
[14] 入れ子閲覧文脈にも同じ効果が継承されます。

処理

[17] block-all-mixed-content 指令の初期化は、文書または大域オブジェクト文脈、 応答、 方針を、次のようにします。 >>7

[18] 方針の配置が enforce でない場合、
1. [19] ここで停止します。
[20] 文脈の厳密混合内容検査フラグを、真に設定します。

[21] 新しい閲覧文脈の作成と navigate でこのフラグもコピーされます。

[22] このフラグは Should fetching request be blocked as mixed content? で参照されます。

[24] HSTS によりこのフラグを設定することも認められています。 [SEE{ Mixed Content ]]

[23] この指令が CSPリストに存在するかは Should fetching request be blocked as mixed content? で参照されます。

歴史

[1] block-all-mixed-content directive on an HTTP page (Tanvi Vyas 著, 2016-03-22 08:35:22 +09:00 版) https://lists.w3.org/Archives/Public/public-webappsec/2016Mar/0064.html

[2] Add reporting to 'block-all-mixed-content'. ( (mikewest著, 2016-05-23 16:54:58 +09:00)) https://github.com/w3c/webappsec-mixed-content/commit/e9c559c6672e3219a0c1f6f4f7c5c187f3d51377

[3] IANA. ( (mikewest著, 2016-05-23 16:57:05 +09:00)) https://github.com/w3c/webappsec-mixed-content/commit/419ffcb005338f324f4f44d6b5c2db38d70f03e0

[4] 1122236 – Implement block-all-mixed-content CSP directive (2016-07-05 10:47:55 +09:00) https://bugzilla.mozilla.org/show_bug.cgi?id=1122236

[5] Removing hard-coded links. (mikewest著, 2017-10-23 17:18:00 +09:00) https://github.com/w3c/webappsec-mixed-content/commit/79c62b3a051019ce00bf98690ece0baf69c00210

[6] Add MIX level 2 skeleton by estark37 · Pull Request #21 · w3c/webappsec-mixed-content (2020-01-12 16:30:29 +09:00) https://github.com/w3c/webappsec-mixed-content/pull/21