偶然碰到iframe跨域加载被拒绝的问题,原因是父页面默认不允许加载跨域的子页面,也就是的content-security-policy中没有设置允许跨域加载。
简单地说,content-security-policy能限制页面允许和不允许加载的所有资源,常见的包括:
- iframe加载的子页面url
- js文件
- 图片、视频、音频、字体等资源
设置content-security-policy有两个途径:
- 通过请求头设置(http header)
- 在html中head > meta设置
使用中注意:
- 1比2的优先级高,也就是浏览器优先使用请求头的配置
- content-security-policy各配置项默认使用
default-src指令的值,该指令默认是不限制的
csp配置可以有效阻止跨站脚本攻击(xss),而且用起来也不麻烦,可以作为一个开发中的日常习惯。文章来源:https://www.toymoban.com/news/detail-622784.html
具体使用方式就不赘述了,感兴趣的可以看下面的参考页面。文章来源地址https://www.toymoban.com/news/detail-622784.html
参考
- Content Security Policy 入门教程 —— 阮一峰
- 内容安全策略(CSP)—— MDN
- CSP常用配置项(指令)
到了这里,关于web开发中的安全和防御入门——csp (content-security-policy内容安全策略)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
