Content-Security-Policy 相关文章

Content-Security-Policy: default-src 'self' 'unsafe-inline' 'unsafe-eval' blob: data: ; img-src * data: blob:;

1、Content Security Policy 入门教程（阮一峰）

2、Content Security Policy 介绍(转)

指令值可以由下面这些内容组成：

指令值	指令示例	说明
data:	img-src data:	允许 data: 协议（如 base64 编码的图片）。

从上面的介绍可以看到，CSP 协议可以控制的内容非常多。而且如果不特别指定 'unsafe-inline' 时，页面上所有 inline 样式和脚本都不会执行；不特别指定 'unsafe-eval'，页面上不允许使用 new Function，setTimeout，eval 等方式执行动态代码。在限制了页面资源来源之后，被 XSS 的风险确实小不少。

3、一些安全相关的HTTP响应头(转)

4、视频网站中video标签中的视频资源以blob:http呈现的探索(转)

一、问题场景

想下载知乎视频资源，却发现视频链接是这个样子的
blob:https://v.vzuu.com/b6146956-6e52-406d-8909-f3f1b81ae461

二、探寻结论

结论就是blob:https并不是一种协议，而是html5中blob对象在赋给video标签后生成的一串标记，blob对象对象包含的数据，浏览器内部会解析；