block-all-mixed-content
Content-Security-Policy Other

개요

block-all-mixed-content 는 HTTPS 페이지에서 http 로 로드되는 모든 혼합 콘텐츠(passive·active 불문)를 차단하도록 지시하는 플래그형 지시어입니다. 값을 받지 않습니다. 다만 폐기(deprecated) 상태이며 최신 브라우저의 기본 혼합 콘텐츠 정책으로 대체되었습니다.

자세히

과거 브라우저는 스크립트 같은 능동적(active) 혼합 콘텐츠는 막았지만, 이미지·비디오 같은 수동적(passive) 혼합 콘텐츠는 경고만 하고 허용했습니다. block-all-mixed-content 는 이 수동적 혼합 콘텐츠까지 전부 차단해 다운그레이드 공격 표면을 없애려는 강경책이었습니다.

그러나 웹 플랫폼은 이후 혼합 콘텐츠를 자동으로 https 로 업그레이드하고, 업그레이드 불가능하면 차단하는 방향으로 표준을 강화했습니다. 그 결과 이 지시어는 폐기되었고, 현대적으로는 upgrade-insecure-requests(가능하면 승격)를 쓰거나 브라우저의 기본 정책에 맡기는 것이 권장됩니다. 신규 정책에 block-all-mixed-content 를 넣을 필요는 거의 없습니다.

문법

Content-Security-Policy: block-all-mixed-content

실무 참고

관련 지시어