CSP: child-src 不推荐使用的HTTPContent-Security-Policy(CSP)child-src指令定义web工作者的有效来源以及使用元素(例如和)加载的嵌套浏览上下文。对于工作人员,不符合要求的请求被用户代理视为致命的网络错误。 而不是child-src,希望规范嵌套浏览上下文的作者和工作人员应该分别使用frame-src和worker-src指令。 句法 儿...
media-src : 定义针对多媒体的加载策略,例如:音频标签和视频标签。 object-src : 定义针对插件的加载策略,例如:、、。 child-src :定义针对框架的加载策略,例如:,。 connect-src : 定义针对 Ajax/WebSocket 等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为400的响应。 sandbox : 定义针对 sandbox 的...
object-src指令:定义有效的插件源,如、或。 media-src指令:定义有效的音频和视频源,例如HTML5 , 元素。 frame-src指令:定义加载帧的有效源。在CSP Level 2中,frame-src被弃用,取而代之的是child-src指令。CSP Level 3有未弃用的frame-src,如果不存在,它将继续遵从child-src。 sandbox指令:为请求的资源启用沙...
Content-Security-policy: default-src 'self'; script-src 'self' allowed.com; img-src 'self' allowed.com; style-src 'self'; 通过HTML元标签实现: CSP指令 我们可以看出,有一部分是CSP中常用的配置参数指令,我们也是通过这些参数指令来控制引入源,下面列举说明: script-src:外部脚本 style-src:样式表 i...
策略 "Content-Security-Policy":策略字符串 资源限制可以精细到 img、font、style、frame等粒度。default-src Content-Security-Policy: default-src 'self'一个网站管理者想要所有内容均来自站点的同一个源 (不包括其子域名),详细 Content-Security-Policy/default-src media-src 、 img-src、script-src Content...
这里的指令是CSP 规定中用以详细描述某种资源的判断,比如前面的错误图片中,img-src指定图片,下面列出一些常用的指令 child-src:为web workers和其他内嵌浏览器内容(例如用和加载到页面的内容)定义合法的源地址。 connect-src:限制能通过脚本接口加载的UR
connect-src connect-src定义了请求、XMLHttpRequest、WebSocket 和 EventSource 的连接来源。 child-src child-src 指定定义了 web workers 以及嵌套的浏览上下文(如和)的源。 二、内容源: 内容源有三种:源列表、关键字和数据 源列表 源列表是一个字符
frame-src弃用。使用child-src来代替。 img-src 定义可以加载图像的起源。 media-src 限制允许传送视频和音频的起源。 object-src 允许控制Flash和其他插件。 plugin-types 限制页面可能调用的插件种类。 report-uri指定浏览器在违反内容安全策略时发送报告的URL。此指令不能在标签中使用。 style-src...
https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy 我们公众号开启了留言功能,欢迎大家留言讨论~ 这篇文章也提供了PDF版本及Github,见文末 0x02 CSP 基础 CSP是以一段明文字符...
child-src 指定定义了 web workers 以及嵌套的浏览上下文(如和)的源。内容源有三种:源列表、关键字和数据 源列表是一个字符串,指定了一个或多个互联网主机(通过主机名或 IP 地址),和可选的或端口号。站点地址可以包含可选的通配符前缀 (星号, '*'),端口号也可以使用通配符 (同样是 '*')...