含义
内容安全策略(Content-Security-Policy),简称CSP,指通过设置一定的策略来控制外部资源(script、style、font等)的加载。
目的
防止非法资源的引入带来xss等安全风险。
设置方法
- 网页标签设置
<!-- 最简单的控制方式,仅加载来自本站的资源 -->
<meta http-equiv="content-security-policy" content="default-src ‘self‘ ">
- header响应头设置
<!-- 允许加载来自本站和a.com的资源 -->
Content-Security-Policy:default-src ‘self‘ *.a.com
这两种方式,可以根据实际情况来选择,效果都是一样的。
了解更多
上面介绍了最简单的CSP设置方式,一般来说也足够了,如果想对CSP进行更加细致的设置,可以参考: https://blog.csdn.net/qq_25623257/article/details/90473859
来源:oschina
链接:https://my.oschina.net/crazymus/blog/3167536