与此同时,任何白名单或源表达式(例如’self’或’unsafe-inline’将被忽略)。例如,一种策略script-src ‘strict-dynamic’ ‘nonce-R4nd0m’ https://whitelisted.com/可以允许加载根脚本 script-src 'strict-dynamic' 'nonce-someNonce' 要么 script-src 'strict-dynamic' 'sha256-hash' 可以以strict-dynamic向...
'unsafe-inline'允许使用内联资源,如内联<script>元素,javascript:URL,内联事件处理程序和内联<style>元素。你必须包括单引号。 'unsafe-eval'允许使用eval()和类似的方法从字符串创建代码。你必须包括单引号。 'none'指空集;也就是说,没有URL匹配。单引号是必需的。'nonce- <base64-value>'使用加密随机数(使用...
default-src 'self'; 只允许同源下的资源 script-src 'self'; 只允许同源下的js script-src 'self' www.google-analytics.com ajax.googleapis.com; 允许同源以及两个地址下的js加载 default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'; 多个资源时,后面...
script-src:限制JavaScript的源地址。 style-src:限制层叠样式表文件源。 worker-src:限制Worker、SharedWorker或者ServiceWorker脚本源。 更多指令,见 MDN 指令可接受的值 指令后面跟的来源,有两种写法: 预设值 URI 通配符 2.2.1 预设值 none 不匹配任何东西。 self 匹配当前域,但不包括子域。比如 http://example...
http://dz.com/test.php?csp=<script src="http://kin.com/1.js"></script> 这种情况只能在 kin.com 域下才能进行引入 script 资源 如果CSP策略为:Content-Security-Policy: script-src 'none' kin.com。script-src包括了两者,none 和 kin.com,后者会覆盖前者,也就是允许 script-src 引入 kin.com 域...
Content-Security-Policy: script-src ‘self’ https://www.baidu.comobject-src ‘none’; report-uri: /Report-parsing-uri; 这个配置场景中,script-src被设置为self并且加了白名单配置,可以使用jsonp绕过。Jsonp允许不安全的回调方法从而允许攻击者执行xss,payload如下: ...
如果CSP策略为:Content-Security-Policy: script-src 'none' kin.com。script-src包括了两者,none 和 kin.com,后者会覆盖前者,也就是允许 script-src 引入 kin.com 域下的资源。跟例子的效果是一样的。 3)数据 data:允许 data: URI 作为内容来源。
<metahttp-equiv="Content-Security-Policy"//键content="default-src 'self'; img-src https://*; child-src 'none';"//值/> 指令说明 策略由一系列的策略指令所组成,每个策略指令都描述了针对某个特定资源的类型以及策略生效的范围。例如,policy应当包含一个default-src指令,作为其他资源策略的fallback。其他...
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';"> 策略 "Content-Security-Policy":策略字符串 资源限制可以精细到 img、font、style、frame等粒度。default-src Content-Security-Policy: default-src 'self'一个网站管理者想要所有内容均...
<meta http-equiv="Content-Security-Policy"content="script-src 'none'"> </head> <body> <script>alert(/test/)</script> </body> </html> 当跳转后,在打开的页面无视csp规则执行JS代码。 3、Link prefetch 在不同浏览器,预加载的 rel 标记不太一样,如 Firefox 和 Chrome 。在 csp 规则设置 unsaf...