我在meta中设置了以下index.html标记,简化了本地开发,但也将部署在生产代码中:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' localhost:* ws://localhost:*;">
是否有任何已知方法可以添加localhost这样的任何类型的跨站点脚本攻击?
根据Google's CSP evaluator,似乎没问题(好吧,至少是localhost部分。)
答案 0 :(得分:1)
这不是最佳选择,但不会有效降低用户的安全性。
原因是浏览器和计算机构成了任何网页的可信计算基础。如果您正在浏览不受信任的计算机,则网页无法实现安全规则,以确保您的数据安全和交换隐私。