HTTP CSP block-all-mixed-content Directive

Die Content-Security-Policy block-all-mixed-content Direktive weist den Browser an, alle HTTP-Ressourcen auf HTTPS-Seiten zu blockieren. Sie verhindert Mixed-Content-Schwachstellen und schützt vor Man-in-the-Middle-Angriffen durch erzwungene Ende-zu-Ende-Verschlüsselung.

Typ

CSP Security-Direktive

Syntax

Die Direktive benötigt keine Werte und blockiert automatisch alle unsicheren Ressourcen.

http 
Content-Security-Policy: block-all-mixed-content

Direktiven

Die Direktive ist eine boolesche Anweisung ohne konfigurierbare Parameter oder Quellausdrücke.

block-all-mixed-content
Blockiert alle HTTP-Ressourcen (Bilder, Scripts, Styles, Fonts, Media) wenn die Seite über HTTPS ausgeliefert wird.
Keine Werte
Direktive akzeptiert keine zusätzlichen Argumente. Ihre bloße Präsenz aktiviert das Blocking-Verhalten.
Upgrade-Verhalten
Browser upgraden HTTP-Requests nicht zu HTTPS. Ressourcen werden direkt blockiert ohne Upgrade-Versuch.
Legacy-Browser
Ältere Browser die die Direktive nicht unterstützen erlauben Mixed Content. Verwenden Sie upgrade-insecure-requests als Fallback.
Deprecation-Status
Direktive ist veraltet. Moderne Browser blockieren Mixed Content automatisch. Verwenden Sie für neue Projekte upgrade-insecure-requests.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für die block-all-mixed-content Direktive.

Beispiel 1 Blockieren unsicherer API-Calls

http 
HTTP/1.1 200 OK
Content-Security-Policy: block-all-mixed-content; default-src https:

<!DOCTYPE html>
<html>
<script>
  fetch('http://api.example.com/users')
    .then(r => r.json())
    .catch(e => console.error('Blocked:', e));
  // Browser blockiert HTTP-Request auf HTTPS-Seite
</script>
</html>

Browser verhindert den unsicheren API-Call und wirft Network-Error. Schützt vor MITM-Angriffen die Credentials oder Tokens abfangen könnten.

Beispiel 2 Legacy-App mit Mixed Content

http 
Content-Security-Policy: block-all-mixed-content; default-src 'self' https:; img-src 'self' https: data:

<!DOCTYPE html>
<html>
<body>
  <img src="http://cdn.oldsite.com/logo.png">
  <!-- Wird blockiert trotz img-src Erlaubnis -->
  <img src="https://cdn.newsite.com/logo.png">
  <!-- Wird geladen -->
</body>

Beispiel 3 API-Gateway mit TLS-Enforcement

http 
HTTP/2 200
Strict-Transport-Security: max-age=31536000; includeSubDomains
Content-Security-Policy: block-all-mixed-content; upgrade-insecure-requests; default-src https:

{
  "config": {
    "apiEndpoint": "http://internal.api.local/v1"
  }
}

Backend-Konfiguration mit HTTP-URL wird blockiert wenn Client versucht darauf zuzugreifen. Erzwingt HTTPS-only Architecture auch bei Legacy-Konfigurationen.

Mixed Content Attack Prevention Flow

CSP block-all-mixed-content verhindert MITM-Angriffe

Vorteile für die Systemarchitektur

  • MITM-Angriff-Prävention: Blockiert unsichere HTTP-Ressourcen die von Angreifern manipuliert werden könnten um Schadcode einzuschleusen
  • Ende-zu-Ende-Verschlüsselung: Erzwingt vollständige TLS-Absicherung aller Ressourcen ohne Ausnahmen für Legacy-Content
  • Compliance-Unterstützung: Erfüllt Sicherheitsanforderungen für PCI-DSS, HIPAA und GDPR durch lückenlose Transportverschlüsselung

Spezifikation

Mixed Content – W3C Candidate Recommendation https://www.w3.org/TR/mixed-content/

Weitere Spezifikationen

Content-Security-Policy Header, CSP upgrade-insecure-requests Directive