CSP 策略
什么是CSP
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。
基础使用
Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com
default-src 'self': 除非另有指定,否则只允许加载来自同源的资源。
script-src 'self' https://example.com: 只允许加载来自当前源或 https://example.com 的 JavaScript 脚本。
这个策略会禁止执行页面中的所有内联脚本,包括:
- 使用
<script>标签内嵌的脚本 - 使用
on*事件属性(如onclick) 内嵌的脚本 - 使用
javascript:URL 的内嵌脚本
浙公网安备 33010602011771号