HTML 中的链接是否有同源策略?
Is there a Same-Origin-Policy for links in HTML?
这听起来很奇怪,但让我解释一下:
我想创建一个 HTML 页面,其中包含来自和 links 的 内容仅来自相同的域, 像图像等。我希望它也包括(有点受信任的)外部(第 3 方)JavaScript,如 Bootstrap、jQuery 等,我 link 来自 CDN。
现在我想确保这些其他库在任何情况下都不会为我的原始域上的其他资源创建可点击的 links(或执行 XHR 请求)。因此,无论用户在此页面上做什么,请求都只会转到我的域,而不会转到其他地方,因此 强制 links 仅转到与原始文件相同的源域上的目标服务于.
- 这听起来合理吗?
- 如果我主持那些(有点
可信)我域上的第 3 方库?
您正在寻找 Content-Security-Policy,它可以阻止除 <a href> 之外的所有内容。
对于链接,您可以使用 MutationObserver 来监视所有链接并抛出错误或删除无效链接,并且您可以覆盖 window.open() 以抛出无效 URL 的错误。
这听起来很奇怪,但让我解释一下:
我想创建一个 HTML 页面,其中包含来自和 links 的 内容仅来自相同的域, 像图像等。我希望它也包括(有点受信任的)外部(第 3 方)JavaScript,如 Bootstrap、jQuery 等,我 link 来自 CDN。
现在我想确保这些其他库在任何情况下都不会为我的原始域上的其他资源创建可点击的 links(或执行 XHR 请求)。因此,无论用户在此页面上做什么,请求都只会转到我的域,而不会转到其他地方,因此 强制 links 仅转到与原始文件相同的源域上的目标服务于.
- 这听起来合理吗?
- 如果我主持那些(有点 可信)我域上的第 3 方库?
您正在寻找 Content-Security-Policy,它可以阻止除 <a href> 之外的所有内容。
对于链接,您可以使用 MutationObserver 来监视所有链接并抛出错误或删除无效链接,并且您可以覆盖 window.open() 以抛出无效 URL 的错误。