CSP(Content Security Policy)是一种Web安全策略,用于限制浏览器如何加载和执行资源的来源
▥前端
𝄐 0
CSP(Content Security Policy)是一种Web安全策略,用于限制浏览器如何加载和执行资源的来源。其中的object-src指令是用来限制页面中嵌入的对象(如Flash应用程序、Java Applets等)的源地址。
例如,以下CSP头部指令将禁止加载任何外部对象,并允许基于data URI的图像和同源的音频/视频资源:
Content-Security-Policy: object-src 'none'; img-src data:; media-src 'self';
上述指令限制了object-src只能使用none值,因此不允许从任何外部源加载嵌入式对象。img-src可以使用data URI方案,这意味着可以内联图像,但不能从任何外部源加载图像。media-src只允许从同源加载音频和视频资源。
例如,以下CSP头部指令将禁止加载任何外部对象,并允许基于data URI的图像和同源的音频/视频资源:
Content-Security-Policy: object-src 'none'; img-src data:; media-src 'self';
上述指令限制了object-src只能使用none值,因此不允许从任何外部源加载嵌入式对象。img-src可以使用data URI方案,这意味着可以内联图像,但不能从任何外部源加载图像。media-src只允许从同源加载音频和视频资源。
本文地址:
/show-278218.html
版权声明:除非特别标注原创,其它均来自互联网,转载时请以链接形式注明文章出处。