Chỉ định một chỉ thị connect-src trong chính sách bảo mật nội dung của bạn có thư giãn chính sách xuất xứ tương tự của trình duyệt và cho phép bạn thực hiện yêu cầu XHR gốc không? Hoặc là chỉ thị này chỉ được sử dụng để giới hạn XHR hợp pháp (tức là các cuộc gọi hoặc cuộc gọi gốc được bật bởi CORS)?Chỉ thị kết nối-src của Chính sách bảo mật nội dung cho phép bạn thực hiện các yêu cầu miền chéo?
Chỉ thị connect-src không thư giãn chính sách cùng nguồn gốc; nó chỉ đơn giản chỉ định một danh sách nguồn mà bạn có thể kết nối, giả sử rằng trình duyệt sẽ cho phép bạn kết nối với chúng (thông qua CORS chẳng hạn).
Nói chung, Chính sách bảo mật nội dung là chú thích mà bạn là tác giả có thể sử dụng để giới hạn khả năng của các trang của bạn. Nó không cấp các đặc quyền mới, nhưng chỉ loại bỏ chúng.
Cảm ơn. Đó không phải là câu trả lời tôi hy vọng, nhưng cảm ơn bạn vì đã nói rõ điều đó. –
https://developer.mozilla.org/en-US/docs/Security/CSP/CSP_policy_directives – Reflective
@Reflective Cảm ơn bạn đã liên kết; Mozilla có một số tài liệu tốt hơn. Tài liệu ngụ ý rằng nó cho phép bạn tạo XHR gốc; tuy nhiên, tôi đã không thể làm được điều này để làm việc trong thực tế, và tôi nghi ngờ rằng chỉ thị này không thực sự thư giãn chính sách xuất xứ giống nhau. –