для страницы прописано
Content-Security-Policy:default-src * 'self' 'unsafe-inline' data: http://*.tile.openstreetmap.org http://*.tile.openweathermap.org http://openweathermap.org http://api.openweathermap.org https://*.gstatic.com;
но все равно блочится запрос, хотя остальные работают. возможно потому что это JSONP запрос.
leaflet-openweathermap.js:846 Mixed Content: The page at '
https://example.com/map' was loaded over HTTPS, but requested an insecure script '
http://api.openweathermap.org/data/2.5/box/city?AP...'. This request has been blocked; the content must be served over HTTPS.
у api openweathermap https не работает. заниматься проксированием через свой скрипт не хотелось бы. есть возможность еще как то эту гадость победить?
(на сайте нет кабинетов и пользовательского ввода, чисто информационный, поэтому безопасность меня здесь волнует меньше всего)