标签: javascript content-security-policy disqus static-site hexo
如果需要在启用了内容安全策略(CSP)的网站上通过“通用代码”选项实施Disqus的人应该如何进行,例如用Hexo建立的静态网站?
根据Mozilla's MDN web docs:
内容安全策略(CSP)是安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。
由于CSP会阻止HTML文件中的任何脚本标记,而仅将脚本留给.js文件,因此建议不要使用Disqus for Universal Code的实现。
例如,fontawesome为启用CSP的网站提供了其服务的特定实现细节,如here所示。
谢谢大家!