【发布时间】:2016-09-09 20:54:32
【问题描述】:
我有一种情况,用户可以为他们维护的网站的特定区域定义 CSS。他们能够将远程资源插入此文档,然后记录访问其页面的访客用户对这些资源的 IP 请求。
除了添加过滤远程 URL 的净化系统之外,有没有办法指示客户端不要发出 ANY 外部请求?我的网站在源头是 100% 自包含的,并且不发出任何外部 CDN 请求。我基本上想要它,以便阻止任何外部请求。
【问题讨论】:
标签: html css same-origin-policy
我有一种情况,用户可以为他们维护的网站的特定区域定义 CSS。他们能够将远程资源插入此文档,然后记录访问其页面的访客用户对这些资源的 IP 请求。
除了添加过滤远程 URL 的净化系统之外,有没有办法指示客户端不要发出 ANY 外部请求?我的网站在源头是 100% 自包含的,并且不发出任何外部 CDN 请求。我基本上想要它,以便阻止任何外部请求。
【问题讨论】:
标签: html css same-origin-policy
Content Security Policy可以限制站点可以包含的资源。
例如,这将限制页面仅从其自己的域和 Google 域加载脚本
Content-Security-Policy: script-src 'self' https://apis.google.com
更多选项,包括加载样式
style-src 是 script-src 对应的样式表。connect-src 限制您可以连接的来源(通过 XHR、WebSockets 和 EventSource)frame-src 改用 child-src。img-src 定义了可以加载图像的来源。media-src 限制允许传送视频和音频的来源。【讨论】: