系列文章目录
第一节 electron 介绍
第二节 创建electron项目并启动
第三节 Electron运行流程 、 主进程渲染进程并使用nodejs
第四节 Electron 调用H5事件结合node模块fs 实现文件拖拽读取
第五节 Electron 模块介绍 remote模块详细介绍
文章目录
简单介绍
Content Security Policy 简称 CSP 是一种网页安全政策
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同
于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。
CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一
台列入了白名单的可信主机。
通俗的讲开启 CSP 后可以让浏览器自动禁止外部注入恶意脚本,增加网站的安全性能。
警告信息:从 2.0 版本开始,如果使用 electron没有定义 Content-Security-Policy,Electron
就会在 DevTool console 发出警告提示,如下图:
配置 Content-Security-Policy:
两种方式的规则都是一样的,default-src 代表默认规则,'self'表示限制所有的外部资源,只 允许当前域名加载资源。
// 禁用外部资源 图片 css js
<meta http-equiv="Content-Security-Policy" content="default-src 'self'">
最值得关心的是 script 的安全,这至关重要,一旦被注入恶意 script,很多安全 控制就会荡然无存,可以使用 script-src 这一指令设置:
// 禁用外部js
<meta http-equiv="Content-Security-Policy" content="script-src 'self'">
例如我们要引入 google-analytics 分析流量,可以这样设置:
<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://www.google-analytics.com">
每天记录一点,助力成长!
欢迎大家来浏览我的博客,如发现我有写错的地方,欢迎交流指正。
如果你觉得本文对你有帮助,欢迎点赞收藏转载,烦请注明出处,谢谢!