https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
http://www.ruanyifeng.com/blog/2016/09/csp.html
default-src 限制全局 和链接请求有关都可以限制他的范围
还可以根据资源类型 限制范围
直接写html里面的js不予执行,导入js文件可以执行
<script>
console.log('inline js')//失败
</script>
<script src="test.js"></script>
结果行内js失败,再次请求的js成功
限制外链
'Content—Security—Policy': 'default—src \'self\'
<script>
console.log('inline js')
</script>
<script src="test.js"></script>
<script src="https://cdn.bootcss.com/jquery/3.3.1/core.js"></script>
浏览器限制了这个请求
怎么放过知道安全的外链?
指明放过这个域
限制form表单提交访问
限制只能提交到本域
form-action 'self'
拦住了 点击没反应 报错
图片 外链
因为 这个禁止外链的头
图片加载失败
改成只限制script
发报告
'Content-Security-Policy': 'script-src \'self\'; form-action \'self\'; report-uri /report'
最后这对
浏览器主动发一个报告过来
'Content-Security-Policy'改成'Content-Security-Policy-Report-Only' 就是不限制 只报告 report-uri /report要写每个请求符合限制都会有报告
