CSP全称Content Security Policy ,可以直接翻译为内容安全策略
通过csp我们可以制定一系列的策略,从而只允许我们页面向我们允许的域名发起跨域请求,而不符合我们策略的恶意攻击则被挡在门外.从而实现
需要说明的一点是,目前主流的浏览器都已支持csp.所以我们可以放心大胆的用了
<meta http-equiv="Content-Security-Policy" content="default-src 'unsafe-inline' 'unsafe-eval' 'self' *.sobot.com *.cnzz.com *.mingshiedu.com *.baidu.com *.mediav.com *.map.bdimg.com *.sogou.com cnzz.mmstat.com 124.42.240.5:10001 120.78.211.193:10002 120.78.211.193:10001 *.map.baidu.com *.qq.com">
服务器端配置
- Apache服务
在VirtualHost的httpd.conf文件或者.htaccess文件中加入以下代码
Header set Content-Security-Policy "default-src 'self';"
- Nginx
在 server {}对象块中添加如下代码
add_header Content-Security-Policy "default-src 'self';";
应用代码:
<meta http-equiv="Content-Security-Policy" content="default-src 'unsafe-inline' 'unsafe-eval' 'self' *.sobot.com *.cnzz.com *.mingshiedu.com *.baidu.com *.mediav.com *.map.bdimg.com *.sogou.com cnzz.mmstat.com 124.42.240.5:10001 120.78.211.193:10002 120.78.211.193:10001 *.map.baidu.com *.qq.com">