如何添加 content-security-policy 头
发布网友
共4个回答
热心网友
加上下面META
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">
CSP简介:
1、CSP官网是这样介绍它的:“The new Content-Security-Policy HTTP response header helps you rece XSS risks on modern browsers by declaring what dynamic resources are allowed to load via a HTTP Header.”
2、大意是说,通过在http的响应头中设定csp的规则,可以规定当前网页可以加载的资源的白名单,从而减少网页受到XSS攻击的风险。所以说csp是一个在现代浏览器加载资源白名单的安全机制,只有响应头中白名单里列出的资源才能够被加载、执行。
热心网友
C:\>java -cp ... -Djava.security.policy=我们的policy文件 ....其它参数上面是在运行时指定一个 policy 文件。通常一个正常安装配置的应用服务器已经给了默认的能让服务器工作的 policy 而不需要我们明确地指定参数,至少不会阻止服务器自己的...
热心网友
加上下面META
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">
热心网友
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src www.ruiguohealth.com *.ruiguohealth.com; child-src https:">
上面代码中,做了如下配置。
脚本:只信任当前域名
只信任www.ruiguohealth.com和ruiguohealth.com的所有二级域名
框架(frame):必须使用HTTPS协议加载
其他资源:没有*
启用后,不符合 CSP 的外部资源访问就会被阻止加载,Chrome 就会报错。
