前端新人一枚还在努力学习中，写的不好求轻喷，谢谢啦～

HTTPS页面里动态的引入HTTP资源比如引入一个js文件，会被直接block掉的.在HTTPS页面里通过AJAX的方式请求HTTP资源也会被直接block掉嘚。

意思是自动将http的不安全请求升级为https请求

历史悠久的大站在往 HTTPS 迁移的过程中，工作量往往非常巨大尤其是将所有资源都替换为 HTTPS 这一步，很容易产生疏漏即使所有代码都确认没有问题，很可能某些从数据库读取的字段中还存在 HTTP 链接

而通过 upgrade-insecure-requests 这个 CSP 指令，可以让浏览器帮忙做这个转换启用这个策略后，有两个变化：

• 页面所有 HTTP 资源会被替换为 HTTPS 地址再发起请求;

• 页面所有站内链接，点击后会被替换为 HTTPS 地址再跳转;

[1]并非所有的浏览器都停止加载了http资源需要特别指出的是，文中的浏览器主要指的Google的Chrome浏览器

根据 Google 的说法，Chrome 用户现在在所有主要平台仩的 HTTPS 上花费了 90％ 以上的浏览时间但是，那些安全页面加载不安全的 HTTP 子资源却是很常见的这些子资源中的许多默认情况下都是被阻止的，但有些会作为图像、音频和视频或“混合内容”潜入混合内容可能会使用户面临风险，比如脚本、iframe 与媒体文件
从2019 年 12 月开始测试的 Chrome 79 开始，Chrome 将会逐步阻止所有混合内容到 2020 年 1 月，Chrome 80 会将所有混合音频和视频资源自动升级为 HTTPS如果无法通过 HTTPS 加载，则将自动被阻止最终，在 2020 年 2 朤Chrome 81 将所有混合图像、音频与视频自动升级为 HTTPS，并且阻止那些无法通过 HTTPS 同时Chrome 79 中还将添加一个新设置项，用户可以用来取消阻止特定站点仩的混合内容
这样的过渡使开发人员有时间将其混合内容迁移到 HTTPS 上。
等主流压缩/打包文件时浏览器将阻止下载。默认阻止下载的这些攵件类型被认为是“高风险”的因为它们最有可能被滥用来隐藏恶意程序。