Предположим, мой веб-сайт использует HTTPS, и мне нужно загрузить ресурс CSS или Object из HTTP, как мне это сделать?
Обратите внимание, что я могу добавить Content-Security-Policy в заголовки ответов на HTTPS веб-сайтах, но я точно не знаю, как это сделать. Может ли кто-нибудь дать мне решение?
Нет решения. Современные браузеры будут запрещать использование ресурсов, отличных от https, на страницах, обслуживаемых https, потому что таким образом вы эффективно подрываете модель безопасности https. CSP не поможет, потому что не решает проблему. Ваш единственный выбор — либо обслуживать сайт по протоколу http, либо проксировать с внешних сайтов, не использующих https, на свой собственный сайт. Но обратите внимание, что последний вариант также может повлиять на модель безопасности, потому что теперь эти внешние ресурсы рассматриваются как исходящие из того же домена, что и ваш собственный контент, и, следовательно, могут неправильно использовать ту же политику происхождения.
