Сайт на https.
В конфиге nginx для Content-Security-Policy установлено:
add_header Content-Security-Policy "default-src * data: blob: 'unsafe-eval' 'unsafe-inline'; object-src 'none'; base-uri 'self'; form-action 'self'; img-src *;";
При вставке изображения со стороннего ресурса, который использует протокол http:// браузеры выдают следующую ошибку:
Mixed Content: The page at 'https://my.site' was loaded over HTTPS, but requested an insecure element 'http://nemoy.site/image.jpg'. This request was automatically upgraded to HTTPS, For more information see https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html
Принудительное отключение https only в настройках браузера помогает, но хотелось бы решить эту проблему на уровне сервера.
Полагал, что
img-src * должно разрешать встраивание картинок с любых сайтов, однако для браузеров с последними версиями это не так.
Надеюсь на помощь бывалых.
Спасибо за ответы.
