与此同时,任何白名单或源表达式(例如’self’或’unsafe-inline’将被忽略)。例如,一种策略script-src ‘strict-dynamic’ ‘nonce-R4nd0m’ https://whitelisted.com/可以允许加载根脚本 script-src 'strict-dynamic' 'nonce-someNonce' 要么 script-src 'strict-dynamic' 'sha256-hash' 可以以strict-dynamic向...
'unsafe-inline'允许使用内联资源,如内联<script>元素,javascript:URL,内联事件处理程序和内联<style>元素。你必须包括单引号。 'unsafe-eval'允许使用eval()和类似的方法从字符串创建代码。你必须包括单引号。 'none'指空集;也就是说,没有URL匹配。单引号是必需的。'nonce- <base64-value>'使用加密随机数(使用...
style-src cdn.example.org third-party.org; child-src https: 另一种是通过网页的<meta>标签。 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:"> 上面代码中,CSP 做了如下配置。 脚本:只...
<meta http-equiv="Content-Security-Policy"content="script-src 'none'"> 而子页面通过 parent.window.opener.location 加载 javascript 协议可在父页面执行JS代码。 <script>parent.window.opener.location ="javascript:alert(document.cookie);"</script> 同时,也可以通过 window.open 去打开其他窗口,浏览器处理...
启用CSP的两种方法 启用CSP的方法有两种,第一种是通过设置一个HTTP响应头(HTTP response header) “Content-Security-Policy”,第二种是通过HTML标签<meta>设置,例如:<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'"> 除了Content-Security-Policy外,还有一个...
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';"> 策略 "Content-Security-Policy":策略字符串 资源限制可以精细到 img、font、style、frame等粒度。default-src Content-Security-Policy: default-src 'self'一个网站管理者想要所有内容均...
script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src ...
script-src:限制JavaScript的源地址。 style-src:限制层叠样式表文件源。 worker-src:限制Worker、SharedWorker或者ServiceWorker脚本源。 更多指令,见MDN 指令可接受的值 指令后面跟的来源,有两种写法: 预设值 URI 通配符 2.2.1 预设值 none 不匹配任何东西。
我有一个非常简单的CSP头,请注意script-src指令:default-src 'none'; script-src 'self'; script-src-elem 'self' https://www.example.com 'unsafe-inline'; style-src https://www.example.com 'unsafe-inline'; manifest-src 'self'; frame-ancestors 'self'; worker-src 'self'; connect-src 'self...
如果CSP策略为:Content-Security-Policy: script-src 'none' kin.com。script-src包括了两者,none 和 kin.com,后者会覆盖前者,也就是允许 script-src 引入 kin.com 域下的资源。跟例子的效果是一样的。 3)数据 data:允许 data: URI 作为内容来源。