Content-Security-Policy(CSP)的内容构成。

Content-Security-Policy的内容可以包含以下指令1:

  • default-src 。这个指令定义了所有未被其他指令明确允许的资源的请求。例如, Content-Security-Policy: default-src http://example.com 会阻止加载除了 http://example.com 以外的任何资源。
  • script-src 。这个指令定义了哪些源可以执行脚本。例如, Content-Security-Policy: script-src https://example.com 会阻止执行任何非 https://example.com 的脚本。
  • style-src 。这个指令定义了哪些源可以加载样式表(CSS)。
  • img-src 。这个指令定义了哪些源可以加载图片。
  • frame-src 。这个指令定义了哪些源可以嵌入框架或者被框架嵌入。
  • object-src 。这个指令定义了哪些源可以加载对象(例如:Flash、Silverlight)。

每一个指令后面都应该有一个或多个源,多个源之间使用空格分隔。如果需要允许所有来源的资源,可以使用 *。例如, Content-Security-Policy: script-src * 会允许从所有源加载脚本。

相关推荐
天若有情67310 小时前
纯HTML+Tailwind单页作品集网站——零框架静态前端完整源码
前端·html
qq_4198540512 小时前
空间网格管理器
前端·javascript·html
天若有情67312 小时前
Dev_Portfolio 个人主页html网页源码分享!!!
前端·html·源码·个人主页
云水一下13 小时前
零基础玩转 bWAPP 靶场(五):HTML 注入——存储型(博客)
web安全·html·bwapp·存储型注入
芯日记14 小时前
Mac-使用文本编辑的html浏览器打开出现源代码问题
macos·html
杨超越luckly19 小时前
Agent应用指南:利用POST请求获取麦当劳门店位置信息
人工智能·arcgis·html·数据可视化·麦当劳
贾伟康2 天前
【安心陪诊 Agent v1.1】首页可信设计实战:HTML/CSS 状态卡与急症分流
css·html·harmonyos·ai agent·首页设计
‘’林花谢了春红‘’2 天前
小玩意 生日快乐
css·html·css3
石像鬼₧魂石3 天前
【Y2Ksoft】四季贵州水世界乐园管理系统 —— 玻璃拟态 · 单文件HTML · 开箱即用
前端·html
梨想橙汁3 天前
吃透HTML5:从基础标签到核心新特性全覆盖
html