CSP设置upgrade-insecure-requests
// header
Content-Security-Policy: upgrade-insecure-requests;
// meta tag
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
一旦将上述头部设置在计划从HTTP迁移到HTTPS的example.com域名上, 非跳转(non-navigational)的不安全资源请求会自动升级到HTTPS(包括第当前域名以及第三方请求)。
<img src="http://example.com/image.png">
<img src="http://not-example.com/image.png">
这些URL在请求发送之前都会被改写成HTTPS,也就意味着不安全的请求都不会发送出去。注意,如果请求的资源在HTTPS情况下不可用,则该请求将失败, 其也不能回退到HTTP。
<img src="https://example.com/image.png">
<img src="https://not-example.com/image.png">