Content-Security-Policy
内容安全策略(CSP)是一种计算机安全标准,用于防止 在受信任的网页上下文中执行恶意内容而导致的跨站点脚本(XSS),点击劫持和其他代码注入攻击。它是W3C Web应用程序安全工作组的候选推荐,现代Web浏览器广泛支持。
一个网站可以声明多个CSP标题,也可以混合执行和仅报告的标题。每个标题将由浏览器单独处理。
CSP也可以使用HTML META标签在HTML代码中提供,但在这种情况下,其有效性将受到限制。
使用:
通过mate方式使用CSP:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';"> |
通过header方式使用ASP
Content-Security-Policy: default-src https://.com