Content-Security-Policy(CSP)的内容构成。

Content-Security-Policy的内容可以包含以下指令1:

  • default-src 。这个指令定义了所有未被其他指令明确允许的资源的请求。例如, Content-Security-Policy: default-src http://example.com 会阻止加载除了 http://example.com 以外的任何资源。
  • script-src 。这个指令定义了哪些源可以执行脚本。例如, Content-Security-Policy: script-src https://example.com 会阻止执行任何非 https://example.com 的脚本。
  • style-src 。这个指令定义了哪些源可以加载样式表(CSS)。
  • img-src 。这个指令定义了哪些源可以加载图片。
  • frame-src 。这个指令定义了哪些源可以嵌入框架或者被框架嵌入。
  • object-src 。这个指令定义了哪些源可以加载对象(例如:Flash、Silverlight)。

每一个指令后面都应该有一个或多个源,多个源之间使用空格分隔。如果需要允许所有来源的资源,可以使用 *。例如, Content-Security-Policy: script-src * 会允许从所有源加载脚本。

相关推荐
IMPYLH6 小时前
HTML 的 <data> 元素
前端·html
UndefeatedJie9 小时前
全栈项目架构三支柱:模块化 × RESTful × 语义化HTML,附AI辅助开发心法
html
凌奕10 小时前
Claude Code 上线了"一键发网页"功能:报告做完直接甩链接,部署这一步彻底消失
html·claude
IMPYLH15 小时前
HTML 的 <colgroup> 元素
前端·html
姑苏倾城客16 小时前
Flutter中,html 与 dart 桥接沟通
javascript·flutter·html
2501_9419820518 小时前
企业微信外部群内:基于RPA接口的监控系统设计
前端·bootstrap·html
Dlrb12112 天前
信息查询Web服务器-->电子商城信息查询项目
linux·服务器·数据库·html·嵌入式·epoll·数据查询
aichitang20242 天前
Claude fable 5与GPT5.5模型能力实测
javascript·css·人工智能·ai·html·html5
就叫飞六吧2 天前
F12 控制台日志移植到页面案例
javascript·css·html
言乐62 天前
Python快速生成工作报告
python·系统架构·html·交互·软件构建