主要观点：在网络安全中，“混合内容”较为常见，需解释其含义、对网站的影响及处理方法。
关键信息：

• 安全 HTTPS 网页中的“混合内容”指非 HTTPS 内容，如<img>、样式表、脚本等。
• 浏览器长期以来有防止混合内容危害的保护，2014 年起建议阻止“主动”混合内容，后所有新 HTML 元素视为“主动”要被阻止。
• 随后开发了 Content-Security-Policy 头部指令“upgrade-insecure-requests”，可将 HTTP 网址隐式改写为 HTTPS，包括“被动”和“主动”混合内容，但超链接改写有条件。
• 2020 年新的混合内容标准区分“可阻止”和“可升级”混合内容，如今 HTTPS 网页含指向 HTTP 的图像等元素会自动升级，部分浏览器已支持，若要重定向同源 URL 可使用 HTTPS“Strict_Transport-Security”头，也可设置“upgrade-insecure-requests”。
  重要细节：
• 2014 年 W3C 提出相关建议，最初仅阻止<script>和<iframe>等“主动”混合内容，后所有新元素也被视为“主动”。
• 新的混合内容标准下，浏览器将区分“可阻止”和“可升级”混合内容，多数浏览器不再区分“主动”和“被动”混合内容。
• 如 Firefox 127、Chrome 86、Safari 18 及更新版本支持相关升级和处理方式。