@ShadowTrix

Content-Security-Policy: получение изображений с HTTP?

Сайт на https.

В конфиге nginx для Content-Security-Policy установлено:
add_header Content-Security-Policy "default-src * data: blob: 'unsafe-eval' 'unsafe-inline'; object-src 'none'; base-uri 'self'; form-action 'self'; img-src *;";


При вставке изображения со стороннего ресурса, который использует протокол http:// браузеры выдают следующую ошибку:
Mixed Content: The page at 'https://my.site' was loaded over HTTPS, but requested an insecure element 'http://nemoy.site/image.jpg'. This request was automatically upgraded to HTTPS, For more information see https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html


Принудительное отключение https only в настройках браузера помогает, но хотелось бы решить эту проблему на уровне сервера.

Полагал, что img-src * должно разрешать встраивание картинок с любых сайтов, однако для браузеров с последними версиями это не так.

Надеюсь на помощь бывалых.
Спасибо за ответы.
  • Вопрос задан
  • 61 просмотр
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы