Content-Security-Policy(CSP)的内容构成。

Content-Security-Policy的内容可以包含以下指令1:

  • default-src 。这个指令定义了所有未被其他指令明确允许的资源的请求。例如, Content-Security-Policy: default-src http://example.com 会阻止加载除了 http://example.com 以外的任何资源。
  • script-src 。这个指令定义了哪些源可以执行脚本。例如, Content-Security-Policy: script-src https://example.com 会阻止执行任何非 https://example.com 的脚本。
  • style-src 。这个指令定义了哪些源可以加载样式表(CSS)。
  • img-src 。这个指令定义了哪些源可以加载图片。
  • frame-src 。这个指令定义了哪些源可以嵌入框架或者被框架嵌入。
  • object-src 。这个指令定义了哪些源可以加载对象(例如:Flash、Silverlight)。

每一个指令后面都应该有一个或多个源,多个源之间使用空格分隔。如果需要允许所有来源的资源,可以使用 *。例如, Content-Security-Policy: script-src * 会允许从所有源加载脚本。

相关推荐
Darling02zjh36 分钟前
HTML5
前端·html·html5
CodeCraft Studio16 小时前
借助Aspose.HTML控件,在 Python 中将 HTML 转换为 Markdown
开发语言·python·html·markdown·aspose·html转markdown·asposel.html
冰菓Neko18 小时前
HTML 常用标签速查表
前端·html
qq_三哥啊1 天前
【HTML】<script>元素中的 defer 和 async 属性详解
html·js
Dxy12393102161 天前
Python HTML模块详解:从基础到实战
开发语言·python·html
Amodoro2 天前
nuxt更改页面渲染的html,去除自定义属性、
前端·html·nuxt3·nuxt2·nuxtjs
飛_2 天前
【Word Press基础】创建一个动态的自定义区块
运维·nginx·html·word press
oioihoii2 天前
恋爱时间倒计时网页设计与实现方案
html
Hilaku2 天前
AVIF vs. JPEG XL:2025年,我们该为网站选择哪种下一代图片格式?
前端·javascript·html
LotteChar2 天前
HTML:从 “小白” 到 “标签侠” 的修炼手册
前端·html