当你的域名（https）为主站点，引用其他站点的资源时（其它站点可能是 HTTP 也可能是 HTTPS）文件类型不限定，例如：CSS,JS,IMAGE,MP4,MP3,RAR,ZIP,M3U8,FLV……等，如果使用的是默认配置会报错误。

Content-Security-Policy 内容安全策略

内容安全策略（CSP）需要仔细调整和精确定义策略。如果启用，CSP 会对浏览器呈现页面的方式产生重大影响（例如，默认情况下禁用内联 JavaScript，并且必须在策略中明确允许）。CSP 可防止各种攻击，包括跨站点脚本和其他跨站点注入。

解决方法
在站点配置文件中加入：

add_header Content-Security-Policy 
"upgrade-insecure-requests;connect-src *";

解决了全部问题，即消除全部警告，同时兼容了各种协议资源。