批量处理 HTTPS 站点中的混合内容

1.使用 CSP 查找混合内容

给网站设置响应头：

1Content-Security-Policy-Report-Only: default-src https: 'unsafe-inline' 'unsafe-eval'; report-uri https://example.com/reportingEndpoint

这样用户访问站点时，浏览器都会向 https://example.com/reportingEndpoint 发送请求，告诉你哪些内容不规范。

2.自动升级不安全的请求

可以使用 CSP 的 upgrade-insecure-requests 配置项，浏览器在请求 http 资源时，会自动升级请求对应的 https 资源。

如，配置请求头

1Content-Security-Policy: upgrade-insecure-requests

或，使用meta标签

1<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

都能使浏览器对 <img src="http://example.com/image.jpg"> 的请求转向 https://example.com/image.jpg。但注意，这时需要保证升级后的资源地址可用，不然就会请求失败。

3.阻止所有混合内容

配置请求头

1Content-Security-Policy: block-all-mixed-content

或，使用meta标签

1<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

将导致所有不安全的混合内容被浏览器阻止，但这个存在"误杀"的风险，慎重使用。