是否有限制Javascript Get,Post请求到指定域? 我也能以某种方式禁用JSONP吗?
我想开发一个Web内容框架,人们可以在不同页面中包含javascripts,但我不希望这些脚本访问任何其他域。
我熟悉firefox“内容安全策略”,但不幸的是,这只适用于firefox。
答案 0 :(得分:2)
默认情况下“禁用”。如果你想“允许”json,你必须添加jsonp回调。没有它,js无法恢复json的响应。
答案 1 :(得分:0)
不是让用户选择任意javascripts,而是让他们从已批准的脚本列表中挑选,如果脚本不包含在正确的域中,则拒绝编辑? 或者你可以使用某种自定义标记,而不是被允许编写标签,他们写[include =“pluginname”],你自己将其转换为脚本标记,找到具有给定名称的插件?
内容安全政策在Chrome中的支持也有限,但目前并不是您想要的,因为它在市场上的支持和渗透是有限的。