Ich möchte einen HTTP Iframe innerhalb einer HTTPS-Seite öffnen. Natürlich ist dies normalerweise nicht möglich, da dies einen Verstoß gegen "gemischte Inhalte" auslösen wird.Mixed Content, Content-Security-Policy und Hash-Quelle
Gibt es eine Möglichkeit, einen Mixed-Content-Block mit "Content-Security-Policy" und Hash-Quellen zu umgehen?
Beispiel:
http://mysite/my-frame.html
hat einen SHA-256 Hash vonsha256-xxxyyy....zzz
https://mysite/index.html
wird mit einemContent-Security-Policy
Header wie folgt (oder inlines Benutzer equivalente<meta>
tag) solange CORS-Header bedient werden:Content-Security-Policy: frame-src sha256-xxxxyyyy....zzz
https://mysite/index.html
enthält eine<iframe src='http://mysite/my-frame.html'>
Wird diese Arbeit? Gibt es eine andere Methode, dies zu ermöglichen?
Hinweis: Nein upgrade-insecure-requests
wird nicht funktionieren, da die Seite eine Navigationsanforderung ist UND der Rahmen von HTTP bedient werden muss.