你能把同源策略设置得更严格吗?
Can you set the Same-Origin Policy to be more strict?
我有这样一种情况,用户可以为他们维护的站点的特定区域定义 CSS。他们能够将远程资源插入到该文档中,并随后记录访问其页面的来宾用户对这些资源发出的 IP 请求。
除了添加过滤远程 URL 的净化系统之外,有没有办法指示客户端不要发出 ANY 国外请求?我的站点在源头上是 100% 独立的,不发出任何外部 CDN 请求。我基本上想要它,以便阻止任何外国请求。
Content Security Policy可以限制站点可以包含的资源。
例如,这将限制页面仅从其自己的域和 Google 域
加载脚本
Content-Security-Policy: script-src 'self' https://apis.google.com
更多选项,包括加载样式
style-src 是 script-src 对应的样式表。connect-src 限制您可以连接的来源(通过 XHR、WebSockets 和 EventSource)frame-src 请改用 child-src。img-src 定义可以加载图像的来源。media-src 限制允许传送视频和音频的来源。
我有这样一种情况,用户可以为他们维护的站点的特定区域定义 CSS。他们能够将远程资源插入到该文档中,并随后记录访问其页面的来宾用户对这些资源发出的 IP 请求。
除了添加过滤远程 URL 的净化系统之外,有没有办法指示客户端不要发出 ANY 国外请求?我的站点在源头上是 100% 独立的,不发出任何外部 CDN 请求。我基本上想要它,以便阻止任何外国请求。
Content Security Policy可以限制站点可以包含的资源。
例如,这将限制页面仅从其自己的域和 Google 域
加载脚本Content-Security-Policy: script-src 'self' https://apis.google.com
更多选项,包括加载样式
style-src是 script-src 对应的样式表。connect-src限制您可以连接的来源(通过 XHR、WebSockets 和 EventSource)frame-src请改用 child-src。img-src定义可以加载图像的来源。media-src限制允许传送视频和音频的来源。