指定内容安全策略中的 connect-src
指令是否会放宽浏览器的同源策略,从而允许您进行跨域 XHR 请求?还是此指令仅用于限制已经合法的XHR请求(即同源调用或CORS启用的调用)?
指定内容安全策略中的 connect-src
指令是否会放宽浏览器的同源策略,从而允许您进行跨域 XHR 请求?还是此指令仅用于限制已经合法的XHR请求(即同源调用或CORS启用的调用)?
connect-src
指令不会放宽同源策略;它只是指定了一组源,你可以连接到这些源,假设浏览器已经允许你连接它们(例如通过 CORS)。
总的来说,内容安全策略是一种注释,您作为作者可以使用它来限制页面的功能。它不会授予新的权限,只会删除它们。