Upgrade Insecure Requests W3Cの仕様でUpgrade Insecure Requestsというものがある。 サブリソースのhttp://へのリクエストを自動でhttps://のものに変更する(下のデモサイトの例が分かりやすい。 指定方法としては以下の二通りである。 HTTPレスポンスヘッダで指定する Content-Security-Policy: upgrade-insecure-requests もしくはmetaタグで指定する <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> 試してみる デモサイトが公開されている https://googlechrome.github.io/samples/csp-upgrade-insecure-requests