CSP官网
必须查看官网。
最近项目需求,需要实现获取HDFS服务器上文件,视频、音频、图片实现预览。
遇到了两个问题:
1、提示Security-Policy media-src self blob:;
2、base64解析出错。
百度了将近几个小时,发现每一个人说清楚具体。最后看了官网一目了然。
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里 章节1.1)。不支持CSP的浏览器也能与实现了CSP的服务器正常合作,反之亦然:不支持 CSP 的浏览器只会忽略它,如常运行,默认为网页内容使用标准的同源策略。如果网站不提供 CSP 头部,浏览器也使用标准的同源策略。
为使CSP可用, 你需要配置你的网络服务器返回 Content-Security-Policy HTTP头部 ( 有时你会看到一些关于X-Content-Security-Policy头部的提法, 那是旧版本,你无须再如此指定它)。
可以在在web.xml配置。
除此之外, 元素也可以被用来配置该策略, 例如:
<meta