是否可以创建允许访问所有网站的内容安全策略?
Is it possible to create a content security policy that allows all websites to be accessed?
由于内容安全策略设置的问题,我一直遇到无法加载脚本的问题,想知道是否有一种方法可以设置内容安全策略,以便所有网站都可以访问以下载脚本?
如果您不确定您到底需要什么内容安全策略,最好从一个非常宽松的策略开始(这至少比根本没有策略要好)并完善它。
例如,
Content-Security-Policy: default-src 'self'; script-src *
将允许您包含来自任何地方的脚本,但其他所有内容(例如图像)只能来自您自己的站点。
我还建议您从 Content-Security-Policy-Report-Only 开始,它会报告错误但不会阻止内容。这样您就可以在执行之前安全地测试和完善您的政策。
例如,参见 Scott Helme 的博客文章
https://scotthelme.co.uk/content-security-policy-an-introduction/
由于内容安全策略设置的问题,我一直遇到无法加载脚本的问题,想知道是否有一种方法可以设置内容安全策略,以便所有网站都可以访问以下载脚本?
如果您不确定您到底需要什么内容安全策略,最好从一个非常宽松的策略开始(这至少比根本没有策略要好)并完善它。
例如,
Content-Security-Policy: default-src 'self'; script-src *
将允许您包含来自任何地方的脚本,但其他所有内容(例如图像)只能来自您自己的站点。
我还建议您从 Content-Security-Policy-Report-Only 开始,它会报告错误但不会阻止内容。这样您就可以在执行之前安全地测试和完善您的政策。
例如,参见 Scott Helme 的博客文章 https://scotthelme.co.uk/content-security-policy-an-introduction/