因为 页面里面加入了GSP内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略.”同源策略”,csp,通过csp我们可以制定一系列的策略,从而只允许我们页面向我们允许的域名发起跨域请求,而不符合我们策略的恶意攻击则被挡在门外.
http://cache.baiducontent.com/c?m=9d78d513d9981efa4fece4690d60c0676915c0322bd7a154288ac75f93151a070c38b4ac26520704a5d27d1740ef184bea817725695734f0db9687109bfdd069388954296d59c30405d36efe97167b9c75d14de9d848bae5ed68c4e59590840806d711187e80f38c5f0417dd6f874e77bcf8&p=8b2a971fc88411a05bed9e625c7acf&newp=8f6fc015d9c041a512b4c7710f49cd231610db2151d4db136b82c825d7331b001c3bbfb423261701d4c6786c05a54356ecf73278350727a3dda5c91d9fb4c57479c27e&user=baidu&fm=sc&query=img-src+self+style-src+self&qid=a2c2c6250001fd7f&p1=1
而百度统计原理:请求百度域名下的hm.gif图片,
当这些参数都设置完毕了(有些参数并没有赋值),筛选出已经赋值了的参数,并作为![]()
hm.baidu.com/hm.gif的参数拼凑出一个url,如:![]()
http://hm.baidu.com/hm.gif?cc=1&ck=1&cl=32-bit&ds=1366×768&ep=0&et=0&fl=11.0&ja=1&ln=zh-cn 。然后请求该图片。
百度统计服务端,通过接收到这个请求,并从这个图片的网址附带的参数获取相关信息,记录访客访问记录;当页面被用户关闭的时候,同样会触发一次请求hm.gif的过程,但这个过程不是所有浏览器和所有关闭动作都支持。
百度统计服务端,通过接收到这个请求,并从这个图片的网址附带的参数获取相关信息,记录访客访问记录;当页面被用户关闭的时候,同样会触发一次请求hm.gif的过程,但这个过程不是所有浏览器和所有关闭动作都支持。
img-src 'self' data:;
改为
img-src 'self' ![]()
https://hm.baidu.com data:;