Я хочу открыть HTTP Iframe на странице HTTPS. Конечно, обычно это невозможно, так как это вызывает нарушение «смешанного содержания».
Есть ли способ обойти блокировку смешанного контента с помощью «Content-Security-Policy» и источников хэша?
Пример:
http://mysite/my-frame.html
имеет хэш sha-256sha256-xxxyyy....zzz
https://mysite/index.html
будет обслуживаться с заголовкомContent-Security-Policy
, как показано ниже (или встраивает эквивалентный тег<meta>
), пока заголовки CORS:Content-Security-Policy: frame-src sha256-xxxxyyyy....zzz
https://mysite/index.html
включает<iframe src='http://mysite/my-frame.html'>
Это сработает? Есть ли другой способ сделать это возможным?
примечание. Нет upgrade-insecure-requests
не будет работать, потому что страница является запросом навигации И фрейм ДОЛЖЕН обслуживаться по протоколу HTTP.