-
object-src:插件’比如 Flash’
-
child-src: 框架
-
frame-src: 嵌入的’子frame’资源 ‘比如、、’
-
connect-src:定义请求连接文件的过滤策略 ‘(通过 XHR、WebSockets、EventSource等)’
script-src * ‘self’ ‘unsafe-eval’ ‘unsafe-inline’ blob: data: gap:;
-
worker-src:worker脚本 --> “了解”
-
manifest-src:‘manifest 文件’
-
default-src ‘self’ 用来设置上面’各个选项’的’默认’值 --> “当前域名”,需要’加引号’
备注: 如果同时设置某个单项限制’比如font-src’和’default-src’,前者会’覆盖’后者
+++++++++++ “其它” +++++++++++
base-uri:限制’<base#href>’
form-action:限制’<form#action>’
重点1:如果同一个限制选项’使用多次’,只有’第一次’会生效
重点2:由于 img-src ‘不存在’,它使用的是 ‘default-src’;如果’存在’,则会’覆盖’
Content Security Policy (CSP)中blob:的用法中blob:的用法 ") object-src blob blob协议
⑤ scp官网default-src指令解读 default-src指令
⑥ CSP