我希望只允许来自本地服务器的脚本,但有某些例外,例如 jQuery 等,但可以灵活地加载外部图像。
我知道有一个像这样的指令
Content-Security-Policy: script-src 'self' https://apis.google.com; img-src 'self' https://www.flickr.com;
允许来自我自己的网络服务器和 Flickr 的图像,但是是否可以允许来自all来源 - 或者这会违反 CSP 的整个概念,因此是不可能的?我正在维护一个经常需要嵌入外部图像的博客,因此基本上取决于将 CSP 添加到我的网站是否有意义且易于管理。
就安全性而言,包含所有来源的图像是一种最安全的做法,但您可能不喜欢可以使用的图像的内容。
要允许所有图像,请使用:
img-src * data:;
将其限制为可能是合理的https:
源,这样您的用户就不会收到混合内容(锁损坏)错误:
img-src https: data:;
无论哪种情况,请务必发送X-Content-Type-Options: nosniff"
以防止 Chrome/IE 中发生内容类型嗅探。我不确定 Firefox 是否会处理指向 javascript 文件的图像标签,由于嗅探,会将其视为 Javascript,但是您的script-src
应该可以防止事情变得可怕。我不确定是否apis.google.com
托管用户脚本或者仅限于典型的开源库。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)