一个seo良好的网站其主要流量往往来自,做旅游项目用哪家网站好,如何制作微信答题小程序,明星网页设计模板图片1、作用
简称CSP#xff0c;意为内容安全策略#xff0c;通过设置约束指定可信的内容来源#xff0c;降低异源文件攻击#xff0c;例如#xff1a;js/css/image等
2、相关设置值 指令名 demo 说明 default-src self cdn.example.com 默认策略,可以应用于js文件/图片…1、作用
简称CSP意为内容安全策略通过设置约束指定可信的内容来源降低异源文件攻击例如js/css/image等
2、相关设置值 指令名 demo 说明 default-src self cdn.example.com 默认策略,可以应用于js文件/图片/css/ajax请求等所有访问 script-src self js.example.com 定义js文件的过滤策略 style-src self css.example.com 定义css文件的过滤策略 img-src self img.example.com 定义图片文件的过滤策略 connect-src self 定义请求连接文件的过滤策略 font-src font.example.com 定义字体文件的过滤策略 object-src self 定义页面插件的过滤策略,如 object, embed 或者applet等元素 media-src media.example.com 定义媒体的过滤策略,如 HTML6的 audio, video等元素 frame-src self 定义加载子frmae的策略 sandbox allow-forms allow-scripts 沙盒模式,会阻止页面弹窗/js执行等,你可以通过添加allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, and allow-top-navigation 策略来放开相应的操作 report-uri /some-report-uri 3、示例
default-src self;只允许同源下的资源
script-src self;只允许同源下的js
script-src self www.google-analytics.com ajax.googleapis.com;允许同源以及两个地址下的js加载
default-src none; script-src self; connect-src self; img-src self; style-src self;多个资源时,后面的会覆盖前面的 4、在nginx配置文件中添加例如
add_header Content-Security-Policy default-src self;只允许同源下的资源
add_header Content-Security-Policy upgrade-insecure-requests;content *;将本站内部http链接自动改为https并不限制内容加载来源。
