Je souhaite ouvrir un iframe HTTP dans une page HTTPS. Bien sûr, cela n'est normalement pas possible car cela déclenchera une violation de "contenu mixte".Contenu mixte, sécurité du contenu et politique et source de hachage
Existe-t-il un moyen de contourner un bloc de contenu mixte en utilisant «Content-Security-Policy» et les sources de hachage?
Exemple:
http://mysite/my-frame.html
a un hachage SHA-256 desha256-xxxyyy....zzz
https://mysite/index.html
sera servi avec un en-têteContent-Security-Policy
comme suit (ou inline une étiquette equivalente<meta>
) tant que têtes CORS:Content-Security-Policy: frame-src sha256-xxxxyyyy....zzz
https://mysite/index.html
comprend un<iframe src='http://mysite/my-frame.html'>
Est-ce que ce travail? Existe-t-il une autre méthode pour rendre cela possible?
note: Aucun upgrade-insecure-requests
ne fonctionnera pas car la page est une demande de navigation ET la trame doit être desservie à partir de HTTP.