根据 CSP,允许的 JavaScript 代码 运行 另一个 JavaScript 代码可以从网页上的不同域下载吗?
As per CSP, can an allowed JavaScript code run another JavaScript code downloading from different domain on a Web page?
我有一个 JavaScript 代码片段内嵌在一个页面上,它从另一个 CDN cdnjs.com/xyz/main.js 下载我的主要 JavaScript 代码并将其附加到正文中。到目前为止,这对我的客户来说效果很好。 main.js 能够拨打 AJAX 电话并正常执行。
我的假设是否正确,即客户必须在其 CSP 策略中允许 cdnjs.com 域?像我这样的设置需要这个过程吗?
如果我将主要 JavaScript 更改为 附加 下载和 运行 来自另一个域的新 JavaScript 代码, cdnjs2.com/abc/new.js,这个新的 JavaScript 代码 运行 是否正常并且能够拨打 AJAX 电话?
Is my assumption correct that clients must have allowed in their CSP policy the cdnjs.com domain?
嗯,由于默认情况下页面没有 CSP 策略,所以如果他们有 CSP,则可以说他们不能禁止该域。
If I change my main JavaScript to additionally download and run new JavaScript code from another domain…
当有 CSP 时,必须允许 JS 的每个来源位置,即使来源它的代码来自允许的位置。
我有一个 JavaScript 代码片段内嵌在一个页面上,它从另一个 CDN cdnjs.com/xyz/main.js 下载我的主要 JavaScript 代码并将其附加到正文中。到目前为止,这对我的客户来说效果很好。 main.js 能够拨打 AJAX 电话并正常执行。
我的假设是否正确,即客户必须在其 CSP 策略中允许
cdnjs.com域?像我这样的设置需要这个过程吗?如果我将主要 JavaScript 更改为 附加 下载和 运行 来自另一个域的新 JavaScript 代码,
cdnjs2.com/abc/new.js,这个新的 JavaScript 代码 运行 是否正常并且能够拨打 AJAX 电话?
Is my assumption correct that clients must have allowed in their CSP policy the cdnjs.com domain?
嗯,由于默认情况下页面没有 CSP 策略,所以如果他们有 CSP,则可以说他们不能禁止该域。
If I change my main JavaScript to additionally download and run new JavaScript code from another domain…
当有 CSP 时,必须允许 JS 的每个来源位置,即使来源它的代码来自允许的位置。