返回 登录
4

HTTP 的内容安全策略(CSP)

W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。

Chrome扩展已经引入了CSP,通过manifest.json中的content_security_policy字段来定义。一些现代浏览器也支持通过响应头来定义CSP。本文主要介绍如何通过响应头来使用CSP,Chrome扩展中CSP的使用可以参考Chrome官方文档。
详细内容:http://imququ.com/post/content-security-policy-reference.html

更多阅读:
知乎上的讨论:Content Security Policy (CSP) 是什么?为什么它能抵御 XSS 攻击?

评论