Upgrade Insecure Requests

とは

文書中のhttpなURLをいい感じにhttpsに書き換える仕組み。

仕様

方法

Content Security Policy HTTPヘッダーに、ディレクティブとして指定する。ディレクティブ単体で指定する場合:

Content-Security-Policy: upgrade-insecure-requests

既にCSPヘッダーがある場合は、それに混ぜて記述する。例えば:

Content-Security-Policy: default-src: http:; upgrade-insecure-requests; report-uri: http://example.com/csp-report

対象

挙動

その他

ブラウザが対応している場合、Upgrade Insecure Requestsが利用可能な事を示す以下のようなHTTPリクエストヘッダーを付与してくる。

Upgrade-Insecure-Requests: 1

ブラウザの対応状況

テストしたブラウザ

参考