Content-Security-Policy(CSP)的内容构成。

Content-Security-Policy的内容可以包含以下指令1:

  • default-src 。这个指令定义了所有未被其他指令明确允许的资源的请求。例如, Content-Security-Policy: default-src http://example.com 会阻止加载除了 http://example.com 以外的任何资源。
  • script-src 。这个指令定义了哪些源可以执行脚本。例如, Content-Security-Policy: script-src https://example.com 会阻止执行任何非 https://example.com 的脚本。
  • style-src 。这个指令定义了哪些源可以加载样式表(CSS)。
  • img-src 。这个指令定义了哪些源可以加载图片。
  • frame-src 。这个指令定义了哪些源可以嵌入框架或者被框架嵌入。
  • object-src 。这个指令定义了哪些源可以加载对象(例如:Flash、Silverlight)。

每一个指令后面都应该有一个或多个源,多个源之间使用空格分隔。如果需要允许所有来源的资源,可以使用 *。例如, Content-Security-Policy: script-src * 会允许从所有源加载脚本。

相关推荐
zhanshuo1 小时前
不依赖框架,如何用 JS 实现一个完整的前端路由系统
前端·javascript·html
火柴盒zhang1 小时前
websheet在线电子表格(spreadsheet)在集团型企业财务报表中的应用
前端·html·报表·合并·spreadsheet·websheet·集团财务
孤水寒月7 小时前
基于HTML的悬窗可拖动记事本
前端·css·html
祝余呀8 小时前
html初学者第一天
前端·html
Eiceblue15 小时前
使用 C# 发送电子邮件(支持普通文本、HTML 和附件)
开发语言·c#·html·visual studio
超级土豆粉16 小时前
Turndown.js: 优雅地将 HTML 转换为 Markdown
开发语言·javascript·html
忧郁的蛋~17 小时前
HTML表格导出为Excel文件的实现方案
前端·html·excel
然我17 小时前
别再只用 base64!HTML5 的 Blob 才是二进制处理的王者,面试常考
前端·面试·html
小飞悟17 小时前
前端高手才知道的秘密:Blob 居然这么强大!
前端·javascript·html
然我21 小时前
React 开发通关指南:用 HTML 的思维写 JS🚀🚀
前端·react.js·html