{site_name}

{site_name}

🌜 搜索

HTTP中的CSP是HTTP Content Security Policy(内

前端 𝄐 0
HTTP中的CSP是HTTP Content Security Policy(内容安全策略)的缩写,它是一种安全性机制,用于帮助防止跨站脚本攻击(XSS)和其他类型的代码注入攻击。

其中script-src是CSP指令之一,它控制了哪些来源可以加载JavaScript代码。如果一个网页上包含了恶意的脚本,它可以通过修改页面内容或者窃取用户信息等方式进行攻击。通过使用script-src指令,网站管理员可以限制允许加载脚本的来源,从而降低恶意攻击的风险。

例如,以下CSP头指令将只允许从 example.com 和 ajax.googleapis.com 这两个域名加载脚本:


Content-Security-Policy: script-src 'self' example.com ajax.googleapis.com;


任何来自除这两个域名以外的来源的脚本都将被阻止加载。注意,'self'指令表示当前页面的源被允许加载脚本。