Content-Security-Policy
服务端可通过设置响应头CSP来实现:1.限制资源获取;2.报告资源获取越权
格式
[资源1][空格][关键字1];[资源2] [关键字2];…
如:
'Content-Security-Policy': 'script-src \'self\'; form-action \'self\'; report-uri /report'
ps: \
表转义,避免node.js中因引号使字符串被分割
一、限制资源获取
资源
1.所有资源(default-src)
2.指定资源类型限制(connect-src/img-src/script-src/style-src/media-src…)
3.其他
关键字
'self'
:代表和文档同源,包括相同的 URL 协议和端口号。两侧单引号是必须的。http: http