标签: security browser-security content-security-policy
在内容安全策略中指定connect-src指令是否会放宽浏览器的相同原始策略并允许您进行跨源XHR请求?或者此指令仅用于限制已经合法的XHR(即CORS启用的相同原始呼叫或呼叫)?
connect-src
答案 0 :(得分:12)
connect-src指令不会放宽同源策略;它只是指定了一个可以连接的源列表,假设浏览器已经允许你连接它们(例如通过CORS)。
通常,内容安全策略是作为作者可以用来限制页面功能的注释。它不授予新权限,只删除它们。