Разрешить активное смешанное содержимое (iframe) с помощью SSL и политик безопасности содержимого
Я установил SSL сертификат на моем сервере, и я его сделал HTTPS. Но мне нужно загрузить существующие фреймы со встроенным контентом, обычно видео YouTube, которые были сохранены с HTTP url, но также и другой контент, недоступный через HTTPS.
upgrade-insecure-requests не является подходящим решением, поскольку оно блокирует пассивный контент, если его нельзя получить с помощью HTTPS, который без определения Content-Security-Policyне блокируется браузерами.
Какую политику я должен определить, чтобы браузер не блокировал активный контент?
Вы не можете отключить смешанную проверку безопасности на уровне сайта. Если браузер разрешит это, такое поведение создаст ложное чувство безопасности и подорвет доверие к использованию HTTPS.
Некоторые браузеры позволяют отключать эту настройку для каждой установки. Например, вы можете отключить проверку в Firefox, изменив настройку
security.mixed_content.block_active_content
в about:config.
Chrome не разрешает это явно, и единственный способ - нажать на все равно грузить. Также стоит отметить, что более новые версии Chrome больше не отображается перечеркнутый замоквместо этого Chrome существенно снизит безопасность страницы до HTTP, если вы загрузите какой-либо HTTP-контент.
