Chỉ định một chỉ thị connect-src
trong chính sách bảo mật nội dung của bạn có thư giãn chính sách xuất xứ tương tự của trình duyệt và cho phép bạn thực hiện yêu cầu XHR gốc không? Hoặc là chỉ thị này chỉ được sử dụng để giới hạn XHR hợp pháp (tức là các cuộc gọi hoặc cuộc gọi gốc được bật bởi CORS)?Chỉ thị kết nối-src của Chính sách bảo mật nội dung cho phép bạn thực hiện các yêu cầu miền chéo?
9
A
Trả lời
12
Chỉ thị connect-src
không thư giãn chính sách cùng nguồn gốc; nó chỉ đơn giản chỉ định một danh sách nguồn mà bạn có thể kết nối, giả sử rằng trình duyệt sẽ cho phép bạn kết nối với chúng (thông qua CORS chẳng hạn).
Nói chung, Chính sách bảo mật nội dung là chú thích mà bạn là tác giả có thể sử dụng để giới hạn khả năng của các trang của bạn. Nó không cấp các đặc quyền mới, nhưng chỉ loại bỏ chúng.
+0
Cảm ơn. Đó không phải là câu trả lời tôi hy vọng, nhưng cảm ơn bạn vì đã nói rõ điều đó. –
Các vấn đề liên quan
- 1. cách cho phép yêu cầu miền chéo trên tomcat?
- 2. Cách thực hiện yêu cầu tên miền chéo
- 3. JavaFX WebView vô hiệu hóa Chính sách gốc tương tự (cho phép yêu cầu miền chéo)
- 4. Thực hiện bảo mật dựa trên yêu cầu (WCF/ASP.NET)
- 5. Làm trắng nhiều tên miền trong chính sách bảo mật nội dung
- 6. Chrome hiển thị lỗi là: Từ chối thực thi tập lệnh nội tuyến vì Nội dung-Bảo mật-Chính sách
- 7. Yêu cầu miền chéo/tấn công tên miền chéo/giao thức tên miền chéo
- 8. Cho phép các yêu cầu xuất xứ chéo trong Yesod
- 9. Mẫu Javascript Công cụ hoạt động với Chính sách bảo mật nội dung của Chrome
- 10. Chính sách bảo mật nội dung có chặn các dấu trang không?
- 11. Bảo mật các yêu cầu AJAX
- 12. FireBug và giám sát các yêu cầu miền chéo JSONP
- 13. Phonegap, cookies, yêu cầu miền chéo
- 14. Cách sử dụng yêu cầu đăng iframe (tên miền chéo)?
- 15. Yêu cầu bảo mật cho các ứng dụng y tế
- 16. Yêu cầu miền chéo với jQuery
- 17. Cài đặt Firefox để bật yêu cầu ajax miền chéo
- 18. Làm cách nào để truy cập vào tiêu đề Nội dung dài từ yêu cầu Ajax tên miền chéo?
- 19. Yêu cầu dịch vụ web bảo mật
- 20. Xác định chính sách bảo mật cho hệ thống
- 21. Cho phép yêu cầu nguồn gốc chéo cho Android WebView
- 22. yêu cầu miền chéo với JSON
- 23. Chính sách bảo mật nội dung "dữ liệu" không hoạt động cho base64 Hình ảnh trong Chrome 28
- 24. Kết nối Bạn bè của Google thực hiện giao tiếp tên miền chéo như thế nào mà không cần phải tải tệp lên miền của khách hàng?
- 25. Yêu cầu AJAX chéo trang
- 26. Làm cách nào để bạn đặt tiêu đề Kiểu nội dung cho yêu cầu HttpClient?
- 27. Bảo mật nội dung trong Android
- 28. Cho phép toàn bộ nhóm bảo mật thực hiện Hành động trong ASP.Net MVC
- 29. Có chính sách tên miền chéo trong UIWebView không?
- 30. Tiêm tập lệnh nội dung và yêu cầu quyền đối với nguồn gốc chéo
https://developer.mozilla.org/en-US/docs/Security/CSP/CSP_policy_directives – Reflective
@Reflective Cảm ơn bạn đã liên kết; Mozilla có một số tài liệu tốt hơn. Tài liệu ngụ ý rằng nó cho phép bạn tạo XHR gốc; tuy nhiên, tôi đã không thể làm được điều này để làm việc trong thực tế, và tôi nghi ngờ rằng chỉ thị này không thực sự thư giãn chính sách xuất xứ giống nhau. –