<p></p>
<p>At the moment loading of insecure passive content in secure pages is still generally allowed (active content isn't which makes the complaint more weird as the browser will deny that anyway even without CSP with the exception of localhost which is a special case) and we have no control over what our users are doing, and more importantly, what they did in the past.</p>
<p>Should we break a 10 year old diary entry because it's no longer considered "good" to load images over http?</p>
<p>Note that the actual page you analysed isn't allowing that but some like the diaries do.</p>
<p>We do only allow cross origin access to selected endpoints (<a href="https://github.com/openstreetmap/openstreetmap-website/blob/master/config/initializers/cors.rb#L21">https://github.com/openstreetmap/openstreetmap-website/blob/master/config/initializers/cors.rb#L21</a>) but it's a bit more than just the API as it has to include OAuth for site that want to authenticate and the RSS feeds so that third part sites can load those.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/issues/3108#issuecomment-782085664">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AAK2OLI67KE73JRZNVSBYMDS7ZTYJANCNFSM4X4G7YUQ">unsubscribe</a>.<img src="https://github.com/notifications/beacon/AAK2OLPSI4VMZQKY3E4ZC33S7ZTYJA5CNFSM4X4G7YU2YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLOORPWSZGOF2O24IA.gif" height="1" width="1" alt="" /></p>
<script type="application/ld+json">[
{
"@context": "http://schema.org",
"@type": "EmailMessage",
"potentialAction": {
"@type": "ViewAction",
"target": "https://github.com/openstreetmap/openstreetmap-website/issues/3108#issuecomment-782085664",
"url": "https://github.com/openstreetmap/openstreetmap-website/issues/3108#issuecomment-782085664",
"name": "View Issue"
},
"description": "View this Issue on GitHub",
"publisher": {
"@type": "Organization",
"name": "GitHub",
"url": "https://github.com"
}
}
]</script>