wangyuan0108
commented
2 years ago 常见的有图片 URL,超链接,Form 提交等
会不会用顿号合适些,比如
常见的有图片 URL、超链接、Form 提交等
Open utterances-bot opened 2 years ago
wangyuan0108
commented
2 years ago 常见的有图片 URL,超链接,Form 提交等
会不会用顿号合适些,比如
常见的有图片 URL、超链接、Form 提交等
pzytydy
commented
2 years ago CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。
通常可以通过两种方式来开启 CSP:
Content-Security-Policy meta 标签的方式 <meta http-equiv="Content-Security-Policy">这里以设置 HTTP Header 来举例
只允许加载本站资源
Content-Security-Policy: default-src ‘self’只允许加载 HTTPS 协议图片
Content-Security-Policy: img-src https://*允许加载任何来源框架
Content-Security-Policy: child-src 'none'还有一个点击劫持 大佬有空加上
szqingt
commented
2 years ago CSRF的防范 SameSite cookies也可以加上吧
NightCatSama
commented
2 years ago @szqingt 感谢反馈,后续加上哈
前端安全 | HZFE - 剑指前端 Offer
相关问题
https://febook.hzfe.org/awesome-interview/book1/network-security