Content Security Policy 与 XSS （跨域脚本攻击）

YT网规则

meta http-equiv="Content-Security-Policy" content="default-src data: 'self' *.yitong.com 'unsafe-inline'; script-src 'self' *.yitong.com *qq.com 'unsafe-inline' 'unsafe-eval'; child-src https:; upgrade-insecure-requests"

data: 支持base64 ‘self’ 相对路径 *.yitong.com 通配符指定域名 ‘unsafe-inline’ 行内脚本及样式 ‘unsafe-eval’ 字符串解析脚本参考文章: http://www.ruanyifeng.com/blog/2016/09/csp.html

uncategorized

http://example.com/2017-12-08 content-security-policy-与-xss-（跨域脚本攻击-）/

作者

csorz

发布于

2017年12月8日

许可协议

type=file 读取、压缩、上传上一篇

YT js-sdk 下一篇

Content Security Policy 与 XSS （跨域脚本攻击 ）

Content Security Policy 与 XSS （跨域脚本攻击）