Upgrade-Insecure-Requests

Upgrade Insecure Requests

Hlavička prohlížeči říká, že má všechny požadavky na nešifrovanou komunikaci převést na zabezpečenou.

HTTPS hlavička Upgrade-Insecure-Requests patří pod hlavičku Content Security Policy a říká aby prohlížeč upgradoval načítání nezabezpečených požadavků (http:) přes zabezpečený protokol (https:). Záhlaví požadavku HTTP Upgrade-Insecure-Requests odešle signál na server o preferenci klienta pro šifrovanou a autentizovanou odpověď, a že může úspěšně zpracovat směrnici CSP o upgradu nezabezpečených požadavků. Podmínkou pro využívání hlavičky je samozřejmě zajištění HTTPS komunikace a platný, důvěryhodný SSL certifikát.

Proč používat Upgrade-Insecure-Requests

Pomocí nastavení Content Security Policy s Upgrade-Insecure-Requests říkáme prohlížeči, aby vše co se načítá, načítal přes zabezpečený protokol HTTPS. V případě že zdroj není dostupný po https: protokolu, nenačte se. Vyhneme se tak problémům s Mixed content.
Tato hlavička je vhodná pro webové stránky s velkým počtem nezabezpečených starších adres URL, které je třeba přepsat.

Syntaxe

Content-Security-Policy: "upgrade-insecure-requests;"

Definice parametrů hlavičky

Hlavička Upgrade-Insecure-Requests nemá žádné parametry.

Nastavení Upgrade-Insecure-Requests

.htaccess
# Upgrade-Insecure-Requests
Header set Content-Security-Policy "upgrade-insecure-requests;"
Nginx
add_header Content-Security-Policy "upgrade-insecure-requests;"
HTML tag
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Potenciální chyby v nastavení

Jelikož hlavičkou prohlížeči říkáme, aby načítal vše přes zabezpečený HTTPS protokol, může se stát, že některé požadavky budou zablokovány a obsah nenačten.

Užitečné zdroje

Diskuze