指定内容安全策略中的 connect-src 指令是否会放宽浏览器的同源策略,从而允许您进行跨域 XHR 请求?还是此指令仅用于限制已经合法的XHR请求(即同源调用或CORS启用的调用)?
内容安全策略的connect-src指令是否允许您进行跨域请求?
11
- Noah Freitas
2
https://developer.mozilla.org/en-US/docs/Security/CSP/CSP_policy_directives - Reflective
@Reflective 感谢提供链接;Mozilla确实有一些更好的文档。文档暗示它允许您进行跨源XHR;但是,我在实践中无法使其正常工作,并且我怀疑该指令本身并不能放宽同源策略。 - Noah Freitas
1个回答
15
< p >
connect-src指令不会放宽同源策略;它只是指定了一组源,你可以连接到这些源,假设浏览器已经允许你连接它们(例如通过 CORS)。
总的来说,内容安全策略是一种注释,您作为作者可以使用它来限制页面的功能。它不会授予新的权限,只会删除它们。
- Mike West
1
谢谢。虽然这不是我所期望的答案,但感谢您如此清晰地陈述了它。 - Noah Freitas
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 3 浏览器是否允许发送跨域请求?
- 13 最大允许的内容安全策略是什么?
- 18 内容安全策略:允许所有外部图片?
- 3 Cordova: 内容安全策略指令:"media-src *"
- 8 "disown-opener"内容安全策略指令是什么?
- 4 内容安全策略指令“frame-ancestors”不支持允许站点的源表达式“unsafe-inline”。
- 6 因为违反以下内容安全策略指令(connect-src),拒绝连接x。
- 73 允许所有内容安全策略?
- 20 iOS拒绝连接,因为它既不出现在内容安全策略的connect-src指令中,也不出现在default-src指令中。
- 3 动态 CSP(内容安全策略)在 Angular 中的 connect-src