是否可以阻止或拦截网站上当前域之外的所有外部呼叫?
没有images / javascripts ajax / script tags / iframes可以引用托管文件的域外的任何内容吗?
这适用于我正在处理的自定义模板构建器,因此需要处理大量奇怪的页面。
答案 0 :(得分:1)
我会选择内容安全政策(CSP)。您可以指定您信任的域
Content-Security-Policy: script-src 'self' https://apis.google.com
您可以根据需要添加其他“受信任”来源。 如果某些内容试图引用这些域之外的内容,则会抛出错误消息。
你可以找到一个很好的介绍CSP here。