【问题标题】:Can CSP restrict the connections of dynamically loaded script?CSP 可以限制动态加载脚本的连接吗?
【发布时间】:2020-03-04 10:18:16
【问题描述】:

我的网站正在加载第三方库,该库加载各种脚本以从我的网站中抓取数据并通过 XHR 将其发送到自己的服务器进行分析。我想做一个限制,使我的页面只能与我的服务器和一个第三方服务器通信,而不会建立其他连接。

我想知道 CSP connect-src 是否会这样做?

例如,假设我的网站是 x.com,第三方是 y.com

如果 y.com 加载了一个将数据发送到 y.com 的脚本,则可以,但如果将其发送到 z.com 则不行

我还没有开始实施。

【问题讨论】:

    标签: content-security-policy


    【解决方案1】:

    可以使用 connect-src 在 Content-Security-Policy 标头中进行控制

    connect-src 'self' http://y.com https://y.com;
    

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2010-11-23
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多