我的站点正在加载第三方库,该库加载各种脚本以从我的站点抓取数据并通过 XHR 将其发送到自己的服务器进行分析。我想做一个限制,使我的页面只能与我的服务器和一个第三方服务器通信,而不会建立其他连接。
我想知道 CSP connect-src 是否会这样做?
例如假设我的站点是 x.com,第三方是 y.com
如果 y.com 加载了一个将数据发送到 y.com 的脚本,那没问题,但如果它发送到 z.com 则不行
我还没有开始实现这个。
最佳答案
可以使用connect-src在Content-Security-Policy header中控制
connect-src 'self' http://y.com https://y.com;
关于content-security-policy - CSP 可以限制动态加载脚本的连接吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58755429/