CSP Upgrade-Insecure-Requests Value

Esse é o “corretor automático” de segurança, que impede completamente o uso do protocolo HTTP (que é inseguro por não ter criptografia), forçando todas as requisições a serem realizadas via HTTPS (que é seguro e tem criptografia).

Caso um desenvolvedor, por engano, inclua uma imagem, script ou outro recurso usando http:// no código de um site que opera em https://, ocorre o chamado mixed content, que é quando uma página segura (HTTPS) tenta carregar conteúdo inseguro (HTTP). Isso quebra a proteção da criptografia e pode permitir a interceptação de dados. Essa diretiva instrui o navegador a, ao identificar um link inseguro, tentar automaticamente carregar sua versão segura via HTTPS antes de exibir alertas ou bloquear o conteúdo, convertendo, por exemplo, http://www.caramelosec.com/auau.png em https://www.caramelosec.com/auau.png.

• • O cabeçalho Content-Security-Policy deve conter o parâmetro upgrade-insecure-requests (HTTP nada meu camarada, aqui é só HTTPS).