我遇到过这样的情况:用户可以为他们维护的网站的特定区域定义 CSS。他们能够将远程资源插入到此文档中,然后记录访问其页面的 guest 用户向这些资源发出的 IP 请求。
除了添加过滤远程 URL 的净化系统之外,是否有办法指示客户端不要发出任何外部请求?我的网站在源头是 100% 独立的,不会发出任何外部 CDN 请求。我基本上希望它能够阻止任何外部请求。
最佳答案
Content Security Policy可以限制网站中可以包含的资源。
例如,这会限制页面仅从其自己的域和 Google 域加载脚本
Content-Security-Policy: script-src 'self' https://apis.google.com
更多选项,包括加载样式
style-src
是 script-src 的样式表对应项。connect-src
限制您可以连接的源(通过 XHR、WebSockets 和 EventSource)frame-src
使用 child-src 代替。img-src
定义可以加载图像的来源。media-src
限制允许传送视频和音频的来源。
关于html - 能否将同源策略设置得更严格一些?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37213738/