xss : 通过某些方法在网站里注入一些脚本,导致页面出现问题,甚至窃取用户信息。很可能就是通过网站提供的富文本编辑器之类的工具,插入script内容。
限制方法:在服务器返回的头里面写入'Content-Security-Policy'。
- 只能通过http: https加载,不能直接写在html
- 如果通过外链加载的JS文件,指定域名可以加载,只能本域名下的JS文件可以加载
//限制default-src,只能通过http: https加载,不能直接写在html
'Content-Security-Policy':'default-src http: https'
屏幕快照 2018-07-13 下午4.41.24.png
如果在页面直接写了JS,报错
可以写在meta标签
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; form-action 'self';">
