Content-Security-Policy(CSP)参数介绍

827 ℃
<meta http-equiv="Content-Security-Policy" content="default-src https://www.ipkd.cn; child-src 'none'; object-src 'none'">

1、指令介绍

base-uri: 用于限制可在页面的 <base> 元素中显示的网址。

child-src: 用于列出适用于工作线程和嵌入的帧内容的网址。例如:child-src https://youtube.com 将启用来自 YouTube(而非其他来源)的嵌入视频。 使用此指令替代已弃用的 frame-src 指令。

connect-src: 用于限制可(通过 XHR、WebSockets 和 EventSource)连接的来源。

font-src: 用于指定可提供网页字体的来源。Google 的网页字体可通过 font-src https://themes.googleusercontent.com 启用。

form-action: 用于列出可从 <form> 标记提交的有效端点。

frame-ancestors: 用于指定可嵌入当前页面的来源。此指令适用于 <frame>、<iframe>、<embed> 和 <applet> 标记。此指令不能在 <meta> 标记中使用,并仅适用于非 HTML 资源。

frame-src: 已弃用。请改用 child-src。

img-src: 用于定义可从中加载图像的来源。

media-src: 用于限制允许传输视频和音频的来源。

object-src: 可对 Flash 和其他插件进行控制。

plugin-types: 用于限制页面可以调用的插件种类。

report-uri: 用于指定在违反内容安全政策时浏览器向其发送报告的网址。此指令不能用于 <meta> 标记,这就是举报电话。

style-src: 是 script-src 版的样式表。

upgrade-insecure-requests: 指示 User Agent 将 HTTP 更改为 HTTPS,重写网址架构。 该指令适用于具有大量旧网址(需要重写)的网站。

2、规则介绍

none:表示不执行任何匹配。

self:表示与当前来源(而不是其子域)匹配。

unsafe-inline:表示允许使用内联 JavaScript 和 CSS。

unsafe-eval:表示允许使用类似 eval 的 text-to-JavaScript 机制。

js接口批量新增参数(?/&)后缀不一样

js获取链接?后面所有参数

mockjs生成随机数据参数介绍

js对url指定参数进行删除,并返回url

dede织梦文章添加高级参数栏目高级选项不显示解

标签: CSP, 参数

上面是“Content-Security-Policy(CSP)参数介绍”的全面内容,想了解更多关于 前端知识 内容,请继续关注web建站教程。

当前网址:https://m.ipkd.cn/webs_1498.html

声明:本站提供的所有资源部分来自互联网,如果有侵犯您的版权或其他权益,请发送到邮箱:admin@ipkd.cn,我们会在看到邮件的第一时间内为您处理!

php语法中如何增加数组的维度
lodop插件打印出现部分内容隐形无法显示(文字消失错乱)
wordpress如何修改网站的摘要长度
position属性被屏蔽的原因有哪些?
Vue中如何实现Axios封装