HTTP Content-Security-Policy(CSP)script-src指令为JavaScript的源指定有效来源。这不仅包括直接加载到
| CSP版本 | 1 |
|---|---|
| 指令类型 | 取指令 |
| default-src fallback | 是。如果此指令不存在,用户代理将查找default-src指令。 |
script-src政策可以允许一个或多个来源:
Content-Security-Policy: script-src ;
Content-Security-Policy: script-src ;
通过名称或IP地址的 Internet 主机,以及可选的 URL方案 and/or 端口号。该站点的地址可能包含一个可选的前导通配符(星号字符’‘),并且可以使用通配符(再次’')作为端口号,表示所有合法端口对于源都有效。
示例:
'self’指受保护文档的来源,包括相同的URL方案和端口号。你必须包括单引号。一些浏览器特别排除blob和filesystem从源指令。需要允许这些内容类型的网站可以使用Data属性来指定它们。
'unsafe-inline’允许使用内联资源,如内联
'unsafe-eval’允许使用eval()和类似的方法从字符串创建代码。你必须包括单引号。
'none’指空集;也就是说,没有URL匹配。单引号是必需的。'nonce- '使用加密随机数(使用一次的数字)的特定内联脚本的白名单。每次发送策略时,服务器都必须生成唯一的随机数值。提供一个无法猜测的随机数是非常重要的,因为绕过资源的策略是微不足道的。例如,查看不安全的内联脚本。
脚本或样式的sha256,sha384或sha512散列。此源的使用由两部分组成:用短划线分隔的部分:用于创建散列的加密算法以及脚本或样式的base64编码散列。生成散列时,不要包含
‘strict-dynamic’ strict-dynamic源表达式指定显式给予标记中存在的脚本的信任,通过附加一个随机数或散列,应该传播给由该脚本加载的所有脚本。与此同时,任何白名单或源表达式(例如’self’或’unsafe-inline’将被忽略)。请参阅script-src作为示例。“report-sample”需要将违规代码样本包含在违规报告中。
鉴于此CSP标题:
Content-Security-Policy: script-src https://demo.com/
以下脚本被阻止并且不会被加载或执行: