本文详细解释了ContentSecurityPolicy(CSP)中的各种指令,如default-src、font-src等,以及它们在限制网页资源加载和执行方面的功能。同时还涉及了HTTP协议的基础知识,如请求方法、状态码和缓存控制等内容。
default-src
该指令用作其他 CSP 获取指令的后备。 对于其它指令,用户代理查找 default-src 指令并为其使用此值
font-src
指令指定使用@font-face 加载的字体的有效来源。
示例
// 以下字体将无法加载
frame-src
指定使用<frame>和<iframe>等元素加载嵌套浏览上下文的有效源。
示例
见 [[#child-src]],将<meta>中child-src改为frame-src即可
img-src
指定图像和favicon的有效源
特殊可选来源
-
'strict-dynamic':严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。同时,任何允许列表或源表达式(如“self”或“unsafe inline”)都将被忽略 -
'report-sample': 要求在违规报告中包含违规代码的样本
示例
<meta http-equiv=“content-security-policy” content="
img-src https://www.baidu.com/; ">
// 以下图片将无法加载
manifest-src
指定哪些manifest可以应用到资源。
示例
<meta http-equiv=“content-security-policy” content="
manifest-src https://www.baidu.com/; ">
// 以下清单文件将无法加载
media-src
指定使用<audio>和<video>元素加载媒体的有效源。
示例
<meta http-equiv=“content-security-policy” content="
media-src https://www.baidu.com/; ">
// 以下音频与视频将不会被加载和播放
object-src
指定<object>、<embed>和<applet>元素的有效源
示例
<meta http-equiv=“content-security-policy” content="
object-src https://www.baidu.com/; ">
// 以下控件将不会被加载
prefetch-src
指令指定可以预取或预呈现的有效源
示例
<meta http-equiv=“content-security-policy” content="
prefetch-src https://www.baidu.com/; ">
// 以下资源将不会被预拉取或预渲染
script-src
指令指定 JavaScript 的有效来源。 这不仅包括直接加载到 <script> 元素中的 URL,还包括可以触发脚本执行的内联脚本事件处理程序 (onclick) 和 XSLT 样式表
特殊可选来源
-
'strict-dynamic':严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。同时,任何允许列表或源表达式(如“self”或“unsafe inline”)都将被忽略 -
'report-sample': 要求在违规报告中包含违规代码的样本
示例
<meta http-equiv=“content-security-policy” content="
script-src https://www.baidu.com/; ">
// 以下资源将不会被预拉取或预渲染
// 以下脚本将不会被加载或执行
// 但是可以通过addEventListener方法来调用
document.getElementById(“btn”).addEventListener(‘click’, doSomething);
style-src
指定样式表的有效源
<meta http-equiv=“content-security-policy” content="
style-src https://www.baidu.com/; ">
// 以下样式表将不会被加载或应用
文档型指令
base-uri
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加V获取:vip1024c (备注前端)
HTTP
-
HTTP 报文结构是怎样的?
-
HTTP有哪些请求方法?
-
GET 和 POST 有什么区别?
-
如何理解 URI?
-
如何理解 HTTP 状态码?
-
简要概括一下 HTTP 的特点?HTTP 有哪些缺点?
-
对 Accept 系列字段了解多少?
-
对于定长和不定长的数据,HTTP 是怎么传输的?
-
HTTP 如何处理大文件的传输?
-
HTTP 中如何处理表单数据的提交?
-
HTTP1.1 如何解决 HTTP 的队头阻塞问题?
-
对 Cookie 了解多少?
-
如何理解 HTTP 代理?
-
如何理解 HTTP 缓存及缓存代理?
-
为什么产生代理缓存?
-
源服务器的缓存控制
-
客户端的缓存控制
-
什么是跨域?浏览器如何拦截响应?如何解决?
HTTP
-
HTTP 报文结构是怎样的?
-
HTTP有哪些请求方法?
-
GET 和 POST 有什么区别?
-
如何理解 URI?
-
如何理解 HTTP 状态码?
-
简要概括一下 HTTP 的特点?HTTP 有哪些缺点?
-
对 Accept 系列字段了解多少?
-
对于定长和不定长的数据,HTTP 是怎么传输的?
-
HTTP 如何处理大文件的传输?
-
HTTP 中如何处理表单数据的提交?
-
HTTP1.1 如何解决 HTTP 的队头阻塞问题?
-
对 Cookie 了解多少?
-
如何理解 HTTP 代理?
-
如何理解 HTTP 缓存及缓存代理?
-
为什么产生代理缓存?
-
源服务器的缓存控制
-
客户端的缓存控制
-
什么是跨域?浏览器如何拦截响应?如何解决?
扫一扫
466
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
