html - 能否将同源策略设置得更严格一些?

标签 html css same-origin-policy

我遇到过这样的情况:用户可以为他们维护的网站的特定区域定义 CSS。他们能够将远程资源插入到此文档中,然后记录访问其页面的 guest 用户向这些资源发出的 IP 请求。

除了添加过滤远程 URL 的净化系统之外,是否有办法指示客户端不要发出任何外部请求?我的网站在源头是 100% 独立的,不会发出任何外部 CDN 请求。我基本上希望它能够阻止任何外部请求。

最佳答案

Content Security Policy可以限制网站中可以包含的资源。

例如,这会限制页面仅从其自己的域和 Google 域加载脚本

Content-Security-Policy: script-src 'self' https://apis.google.com

更多选项,包括加载样式

  • style-src 是 script-src 的样式表对应项。
  • connect-src 限制您可以连接的源(通过 XHR、WebSockets 和 EventSource)
  • frame-src 使用 child-src 代替。
  • img-src 定义可以加载图像的来源。
  • media-src 限制允许传送视频和音频的来源。

关于html - 能否将同源策略设置得更严格一些?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37213738/

上一篇:html - 品牌形象位于导航栏之外

下一篇:javascript - Canvas 裁剪区域和 Canvas 堆栈

相关文章:

css - 固定背景附件——谷歌浏览器

jquery - Ajax同源策略和Jquery $.getJSON

javascript - 页面加载时清除/重置文件输入?

html - 让我的下拉导航出现在其他 div 的前面

javascript - 如何让我的整个弹出窗口背景颜色改变

javascript - XMLHttpRequest 响应在 Javascript 中为 null

javascript - 从 javascript 代码使用 jsonp

javascript - 显示 JavaScript 函数/值

jquery - 在页面加载时打开显示模型不起作用

html - CSS 边距未相对于其父级设置

©2024 IT工具网  联系我们