将 localhost 添加到内容安全策略是否不安全?
Is it unsafe to add localhost to Content Security Policy?
我在 index.html 中设置了以下 meta 标记,它简化了本地开发,但也将部署在生产代码中:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' localhost:* ws://localhost:*;">
是否有任何已知的方法可以像这样添加 localhost 以允许任何类型的跨站点脚本攻击?
根据 Google's CSP evaluator 看来还可以(好吧,至少 localhost 部分)。
这不是最佳选择,但不会显着降低用户的安全性。
这是因为浏览器和计算机构成了任何网页的可信计算基础。如果您从不受信任的机器上浏览,世界上没有任何安全规则可以通过网页实施来保证您的数据安全和交换隐私。
我在 index.html 中设置了以下 meta 标记,它简化了本地开发,但也将部署在生产代码中:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' localhost:* ws://localhost:*;">
是否有任何已知的方法可以像这样添加 localhost 以允许任何类型的跨站点脚本攻击?
根据 Google's CSP evaluator 看来还可以(好吧,至少 localhost 部分)。
这不是最佳选择,但不会显着降低用户的安全性。
这是因为浏览器和计算机构成了任何网页的可信计算基础。如果您从不受信任的机器上浏览,世界上没有任何安全规则可以通过网页实施来保证您的数据安全和交换隐私。