script-src 'self' 这个安全?
时间: 2023-09-12 10:06:01 浏览: 45
这个安全设置表示只允许网页加载来自同一域名下的脚本文件,可以防止跨站点脚本攻击(XSS)。但是如果网页需要加载其他来源的脚本文件,就需要将其添加到白名单中,例如:
```script-src 'self' https://cdnjs.cloudflare.com```
这样可以允许加载来自cdnjs.cloudflare.com的脚本文件。因此,安全性取决于具体的应用场景和配置。
相关问题
script-src 'self' 'unsafe-inline' 'unsafe-eval' 这个安全不
这个安全性较低,因为它允许脚本在当前网站中使用内联脚本和 eval() 函数,这使得网站容易受到跨站脚本攻击(XSS)和代码注入攻击。建议只使用 'self' 来限制脚本来源,并避免使用 'unsafe-inline' 和 'unsafe-eval'。如果需要使用内联脚本或 eval() 函数,应该尽可能在服务器端生成并传输脚本,而不是在客户端执行。
Content Security Policy如何设置安全的script-src
Content Security Policy (CSP) 是一种用于保护网站免受跨站脚本攻击(XSS)和其他代码注入攻击的安全机制。其中的 `script-src` 指令用于限制网页中可以执行的脚本来源。
要设置安全的 `script-src`,可以使用以下方法之一:
1. 只允许从同一域名加载脚本:
```html
Content-Security-Policy: script-src 'self';
```
这将只允许从同一域名加载脚本,阻止其他域名的脚本加载。
2. 允许从多个域名加载脚本:
```html
Content-Security-Policy: script-src 'self' https://apis.google.com;
```
这将允许从同一域名和 `https://apis.google.com` 加载脚本,阻止其他域名的脚本加载。
3. 禁止使用 `eval` 和 `unsafe-eval`:
```html
Content-Security-Policy: script-src 'self' 'unsafe-inline';
```
这将禁止使用 `eval` 和 `unsafe-eval`,并只允许从同一域名加载内联脚本。
请注意,以上示例中的 `Content-Security-Policy` 头部需要在服务器端进行配置,并在 HTTP 响应中发送给客户端。