klxedu / blog

2 stars 0 forks source link

CSP使用 #45

Open songhuiqing88 opened 6 years ago

songhuiqing88 commented 6 years ago

CSP中指令名的含义

指令名 规范版本 含义
default-src Level 1 加载JavaScript、图片、CSS、字体、AJAX、Frame和HTML5媒体等资源的默认策略
script-src Level 1 定义合法的JavaScript源
style-src Level 1 定义合法的CSS样式表源
img-src Level 1 定义合法的图片源
connect-src Level 1 适用于XMLHttpRequest (AJAX), WebSocket或EventSource。当不合法的请求发出时,浏览器会模拟一个404回复
font-src Level 1 定义合法的字体源
object-src Level 1 定义合法的插件源,例如 , <embed&gt 或
media-src Level 1 定义合法的媒体源,例如HTML5中的
frame-src Deprecated 定义合法的框架源。使用 child-src 替代其更合适
sandbox Level 1 针对请求的资源使用沙箱,类似于 iframe 的 sandbox 属性。沙箱适用于同源策略,禁用弹窗,被阻止的插件和脚本。保持空属性值以保留所有限制,也可以添加后面的值: allow-forms allow-same-origin allow-scripts allow-popups , allow-modals , allow-orientation-lock , allow-pointer-lock , allow-presentation , allow-popups-to-escape-sandbox ,和 allow-top-navigation
report-uri Level 1 指定策略应用失败的URI,也可以在 Content-Security-Policy HTTP头后添加 -Report-Only 指示浏览器仅报告错误,但不阻止内容的加载
child-src Level 2 定义web worker或者frame的合法源,例如 和