其中 script-src 只允许本网站和 example.com 的脚本加载,img-src 只允许本网站和 data: URI 的图片加载,style-src 只允许本网站和内联样式加载,font-src 只允许本网站和 example.com 的字体加载。请根据实际情况进行调整。 什么是Content Secruity Policy(CSP) CSP全称Content Security Policy ,可以直接翻译为内容...
img-src: 指定允许加载图片的来源,控制图片的加载规则,例如:img-src 'self' data: blob:。font-src: 指定允许加载字体的来源,也可以用于控制加载字体的规则,例如:font-src 'self' fonts.googleapis.com。frame-src: 指定允许框架加载的来源。同源的iframe可以通过指示嵌入到当前文档中,也可以使用,以分隔符...
#add_header Content-Security-Policy"default-src 'self' https://a.cn:8822/ https://b.cn/ https://c.cn/ https://d.cn:8553/ 'unsafe-inline' 'unsafe-eval' blob: data:;"; add_header Strict-Transport-Security"max-age=63072000; includeSubdomains; preload"; add_header X-Permitted-Cross-D...
img-src:图像 media-src:媒体文件(音频和视频)font-src:字体文件 object-src:插件(比如 Flash)...
// 1. 定义一个 回调函数 handleResponse 用来接收返回的数据functionhandleResponse(data){console.log(data);};// 2. 动态创建一个 script 标签,并且告诉后端回调函数名叫 handleResponsevarbody=document.getElementsByTagName('body')[0];varscript=document.gerElement('script');script.src='http://www.lai...
script-src 'self' 'unsafe-inline':允许加载来自当前网页域名的JavaScript资源和内联脚本。 style-src 'self' 'unsafe-inline':允许加载来自当前网页域名的样式表和内联样式。 img-src 'self' data::允许加载来自当前网页域名的图像资源以及data:URL中的图像。
content_security_policy.directive.img_src* data: Specifies valid sources of images and favicons. Valid values forimg_src(Link opens in a new window). content_security_policy.directive.font_src* data: Specifies valid sources for fonts loaded using @font-face. ...
add_header Content-Security-Policy "default-src 'self' localhost:8080 'unsafe-inline' 'unsafe-eval' blob: data: ;"; 第二种:通过网页的meta标签 <metahttp-equiv="Content-Security-Policy"content="style-src 'self' 'unsafe-inline';script-src 'self' 'unsafe-inline' 'unsafe-eval' https://webap...
2.4 img-src img-src参数用于控制图片的加载。可以指定允许加载图片的来源,例如:img-src 'self' data:,表示只允许从同源加载图片和Base64编码的图片。 2.5 media-src media-src参数用于控制媒体文件的加载。可以指定允许加载媒体文件的来源,例如:media-src 'self' example,表示只允许从同源和example加载媒体文件。
Content-Security-Policy:default-srcself;img-src; 在这个策略中:-default-srcself;指令定义了所有资源的默认来源为网站自身。-img-src;指令允许图片资源从加载。 2.5结论 CSP通过其灵活的指令和值,为网站提供了强大的安全控制能力。开发者可以根据网站的具体需求,定制CSP策略,以达到最佳的安全防护效果。虽然CSP的学习...