这些HTTP标题似乎做了同样的事情,尽管后者具有更大的灵活性。
内容安全策略是否提供了额外的安全性?
答案 0 :(得分:3)
X-FRAME-OPTIONS可以保护您的网站不被其他网站框起。
例如,X-FRAME-OPTIONS:SAMEORIGIN将允许您的网站仅嵌入到同一域中的iframe中。需要防止ClickJacking攻击。
但内容安全政策的目的完全不同。 CSP的规范说:
内容安全策略是一种声明性策略,允许Web应用程序的作者(或服务器管理员)通知客户端应用程序期望加载资源的位置。
因此,它的主要目的是保护您的网站免受用户的XSS攻击,不允许浏览器从未知域中加载资源(脚本等)。