C'è un'intestazione di risposta HTTP che impedisce la visualizzazione di qualsiasi contenuto non SSL nella pagina corrente?
L'idea è che alcune volte il contenuto esterno che deve essere presente sul sito web (tosse, motori pubblicitari, tosse) potrebbe rallentare con l'SSL e in tal caso preferirei saltare su questo contenuto esterno, piuttosto che fornire un opportunità per MitM attivo con tutte le sue conseguenze.
So che l'HSTS copre un terreno simile, ma AFAIK funziona su base host; che sta inviando HSTS significa che vuoi solo le connessioni HTTPS per il tuo host, non che non includerai contenuti non HTTPS dal codice HTML delle tue pagine.