2
我有一種情況,用戶可以爲他們維護的網站的特定區域定義CSS。他們能夠在本文檔中插入遠程資源,並隨後記錄來賓用戶訪問其頁面對這些資源的IP請求。您可以將同源策略設置爲更嚴格嗎?
缺少添加過濾遠程URL的淨化系統,有沒有辦法指示客戶端不要讓ANY外部請求?我的網站在原始地點100%獨立,並且沒有任何外國CDN請求。我基本上想要它,以便任何外部請求被阻止。
A
回答
3
Content Security Policy可以限制可以包含在網站中的資源。
例如,這將限制該頁面只從自己的域,並從谷歌域
Content-Security-Policy: script-src 'self' https://apis.google.com
更多選擇加載腳本,包括用於裝入風格
style-src是腳本的SRC的對口樣式表。connect-src限制起源,你可以連接(通過XHR,WebSockets的,而EventSource的)frame-src使用兒童SRC代替。img-src定義圖像可以加載的來源。media-src限制允許傳送視頻和音頻的來源。
不是一個可怕的建議,但幾乎沒有防彈。這取決於瀏覽器是否執行此操作,並且確定的「攻擊者」可以輕鬆選擇使用[不支持它的瀏覽器](http://caniuse.com/#feat=contentsecuritypolicy)。 – Michael
嗯,是的,它是瀏覽器是安全的軟件或沒有。如果用戶使用不安全的瀏覽器,那是他們的選擇。攻擊者使用的瀏覽器的重要性如何? – C14L
非常好,謝謝。 – Josh