文章预览
基本概念 CSP是由谷歌提出的一项安全协议,其主要通过在服务器响应头部添加‘Content-Security-Policy: ; ’,从而控制页面所允许加载的内容。 实践 你可以在HTML的meta标签中设置CSP进行初步的测试。但需要注意的是,通过meta标签设置的CSP规则不能完全应用于meta标签本身和其所在的页面。相比之下,通过HTTP响应头来设置CSP则能够更全面、更彻底的应用安全策略。 正篇开始 前端使用的React框架,当开发完成后会将写好的react代码编译成js并上传到公司的静态资源服务器中,当我们打开页面时,页面中会用script加载静态资源服务器中的js文件 当此时CSP的东西从我脑子里闪过了一下,我就在想,如果我配置了CSP只允许加载我这里的static.tuyacn.com这个域名的脚本(包括不允许加载self域名脚本),是否可以。 在云服务器上起一个python的http.server,之后在里面放入
………………………………
