upgrade-insecure-requests
Content-Security-Policy Other

개요

upgrade-insecure-requests 는 페이지 내 http:// 로 참조된 리소스 요청을 브라우저가 자동으로 https:// 로 승격(업그레이드)해 전송하도록 지시하는 플래그형 지시어입니다. 값을 받지 않으며 존재만으로 동작합니다. 혼합 콘텐츠(mixed content) 문제를 마이그레이션 단계에서 완화합니다.

자세히

HTTPS 로 서빙되는 사이트에 http 로 하드코딩된 이미지·스크립트·스타일이 남아 있으면 혼합 콘텐츠로 차단되거나 경고가 뜹니다. 모든 URL 을 일일이 https 로 고치기 어려운 대규모 레거시 사이트에서 이 지시어를 켜면, 브라우저가 요청을 보내기 직전에 스킴을 https 로 바꿔줘 링크 수정 없이 안전 연결을 유도합니다. 단 same-origin 링크 이동(a href)에도 적용되며, 외부 오리진 리소스도 승격됩니다.

이것은 '업그레이드가 불가능한 리소스를 차단'하는 block-all-mixed-content 와 목적이 다릅니다. upgrade-insecure-requests 는 '가능하면 https 로 바꿔 살린다'는 능동적 마이그레이션 도구이고, block-all-mixed-content 는 '안전하지 않으면 그냥 막는다'는 차단 도구입니다. 최신 브라우저는 혼합 콘텐츠를 기본적으로 자동 업그레이드/차단하는 방향으로 진화했으므로, 이 지시어는 전환기의 보조 수단으로 이해하는 것이 좋습니다.

문법

Content-Security-Policy: upgrade-insecure-requests

실무 참고

관련 지시어