developer.mozilla.org에있는 아주 좋은 것을 포함하여 여러 CSP 참조를 살펴 봤지만 이에 대한 답을 찾을 수 없습니다. self 및 * .facebook.com의 모든 것을 허용하고 다음의 스크립트 만 허용한다고 가정합니다. * .googleapis.com. script-src에서 self와 * .facebook.com을 반복해야합니까?
즉,이 정도면 충분합니까?
Content-Security-Policy default-src 'self' *.facebook.com; script-src *.googleapis.com;
또는 다음을 지정해야합니까?
Content-Security-Policy default-src 'self' *.facebook.com; script-src 'self' *.facebook.com *.googleapis.com;
두 번째 변형이 정확합니다.
Content-Security-Policy
default-src 'self' *.facebook.com;
script-src 'self' *.facebook.com *.googleapis.com;
script-src
정책 에서 지시문을 지정하면 브라우저는 default-src
스크립트에 대한 소스를 전혀 사용 하지 않습니다 (로 폴백을 수행하지 않음 default-src
). 의 출처 만 script-src
사용됩니다.
따라서 앱이 'self'
및 *.facebook.com
에서 스크립트를로드하는 경우 콘텐츠 와 script-src
별도로 이를 지정해야 default-src
합니다.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다