目录
基本概念
Content-Security-Policy简称CSP
中文名:内容安全策略!
作用:
1. 限制资源获取;
2. 报告资源获取越权;
资源从哪里获取的情况,避免hacker恶意上传一些脚本,外链,非法获取数据;
限制方式:
1. default-src限制全局(default-src 限制全局的,和连接有关的东西);
2. 制定资源类型;
博主例子
如下:
如上面的,出于安全,不想让浏览器执行页面上的脚本,XSS攻击窃取数据。
添加如下头
"Content-Security-Policy", "default-src http: https:"
即可:
其中对应的源码如下:
如果要通过外链的方式加载本地的JS文件!
源码:
以外链的方式的如下图:
从中可以看到已经被加载了!
限制form表单提交方向,不然他跳转到baidu
运行截图如下:
对应的源码如下:
只想限制JavaScript不想限制Image
打包下载
https://github.com/fengfanchen/Qt/tree/master/Content-Security-Policy%20Of%20HTTP