Content-Security-Policy中style 和script的配置规则是啥样的
时间: 2023-10-31 08:32:47 浏览: 48
Content-Security-Policy中style和script的配置规则如下:
1. style-src:用于配置允许加载样式表的来源。可以使用以下值:
- 'self': 表示只允许从同一域名加载样式
- 'unsafe-inline': 表示允许使用内联样式
- 'unsafe-eval': 表示允许使用动态样式(如使用JavaScript生成CSS)
- 'nonce-<nonce-value>': 表示只允许使用特定nonce值的样式
- 'hash-<hash-value>': 表示只允许使用特定哈希值的样式
- 'data:': 表示允许使用data URI加载样式
2. script-src:用于配置允许加载脚本的来源。可以使用以下值:
- 'self': 表示只允许从同一域名加载脚本
- 'unsafe-inline': 表示允许使用内联脚本
- 'unsafe-eval': 表示允许使用动态脚本(如使用JavaScript的eval函数执行脚本)
- 'nonce-<nonce-value>': 表示只允许使用特定nonce值的脚本
- 'hash-<hash-value>': 表示只允许使用特定哈希值的脚本
- 'data:': 表示允许使用data URI加载脚本
以上配置规则还可以组合使用,例如:
- style-src 'self' https://example.com; script-src 'self' https://example.com;
表示只允许从同一域名和https://example.com加载样式和脚本。
总的来说,Content-Security-Policy中的style-src和script-src都是用来限制页面中加载样式和脚本的来源,以防止XSS等攻击。