Mixed Content, Content-Security-Policy und Hash-Quelle

Question

Ich möchte einen HTTP Iframe innerhalb einer HTTPS-Seite öffnen. Natürlich ist dies normalerweise nicht möglich, da dies einen Verstoß gegen "gemischte Inhalte" auslösen wird.

Gibt es eine Möglichkeit, einen Mixed-Content-Block mit "Content-Security-Policy" und Hash-Quellen zu umgehen?

Beispiel:

• http://mysite/my-frame.html hat einen SHA-256 Hash von sha256-xxxyyy....zzz

• https://mysite/index.html wird mit einem Content-Security-Policy Header wie folgt (oder inlines Benutzer equivalente <meta> tag) solange CORS-Header bedient werden:

  • Content-Security-Policy: frame-src sha256-xxxxyyyy....zzz

• https://mysite/index.html enthält eine <iframe src='http://mysite/my-frame.html'>

Wird diese Arbeit? Gibt es eine andere Methode, dies zu ermöglichen?

Hinweis: Nein upgrade-insecure-requests wird nicht funktionieren, da die Seite eine Navigationsanforderung ist UND der Rahmen von HTTP bedient werden muss.

Answer 1

Nein, es gibt keinen Weg, um den Sicherheitsblock auf modernen Browser zu umgehen (ab Firefox 23, Chrome 14, IE9)

Zum Glück der meisten modernen Browser blockieren diese Art von gefährlichem Inhalt standardmäßig

ref: https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content#mixed-content-types--security-threats-associated