我有一种情况,用户可以为他们维护的网站的特定区域定义CSS。他们能够将远程资源插入到此文档中,然后记录访问其页面的访客用户对这些资源发出的IP请求。
如果没有添加过滤远程URL的净化系统,是否有办法指示客户不要发出 ANY 外来请求?我的网站在原点100%自包含,没有外国CDN请求。我基本上想要它,以便阻止任何外国请求。
答案 0 :(得分:3)
Content Security Policy可以限制网站中可以包含的资源。
例如,这会限制页面仅从其自己的域和Google域
加载脚本Content-Security-Policy: script-src 'self' https://apis.google.com
更多选项,包括加载样式
style-src是script-src与样式表的对应部分。connect-src限制您可以连接的来源(通过XHR,WebSockets和EventSource)frame-src请改用child-src。img-src定义了可以加载图像的来源。media-src限制了传输视频和音频的来源。