我试图在Apache下设置以下指令来防止XSS攻击:
Header set Content-Security-Policy "default-src 'self' code.jquery.com;"
只允许使用jquery.com CDN,这非常方便。 然而,该指令一直在Firefox中给我以下内容:
页面的设置阻止了自己加载资源 (" script-src http://www.website.com http://code.jquery.com")。
答案 0 :(得分:2)
这是格式错误。
而不是“code.jquery.com”在包含http://
的网址中输入
像这样:http://code.jquery.com
一个有用的提示:如果需要,可以使用通配符*作为域名前缀
像这样:http://*.jquery.com,或* .jquery.com
答案 1 :(得分:0)
我认为这不是一个好答案,我们可以阅读https://content-security-policy.com/ 那: 允许Google Analytics(分析),Google AJAX CDN和相同来源 script-src'self'www.google-analytics.com ajax.googleapis.com;
因此没有https://ajax.googleapis.com,它只是域名。
正确的答案是-添加script-src块: 标头设置了Content-Security-Policy“ default-src'self'code.jquery.com; script-src'self'code.jquery.com;”