Security connect src CSP的安全注意事项
我正在尝试构建如下所示的CSP策略:Security connect src CSP的安全注意事项,security,content-security-policy,Security,Content Security Policy,我正在尝试构建如下所示的CSP策略: Content-Security-Policy: "default-src 'self'; script-src 'self' https://*.example.com; object-src 'none'; style-src 'self'; img-src 'self' 'unsafe-inline'; media-src 'self'; frame-src 'self' https://*.example.com; font-src 'se
Content-Security-Policy: "default-src 'self'; script-src 'self' https://*.example.com; object-src 'none'; style-src 'self'; img-src 'self' 'unsafe-inline'; media-src 'self'; frame-src 'self' https://*.example.com; font-src 'self'; connect-src *"
如果您注意到除connect src*外一切正常。
我们需要实现这一点,因为当我们加入需要不同端点连接的新服务时,我们看到了扩展问题。我想了解,如果我们允许连接到任何东西,但限制其他衍生产品,那么安全威胁是什么。指令
connect src
涵盖了接口:
ping- 取回
- XMLHttpRequest()
- 发送信标()
- 网袋
- 事件源
script src
指令仅涵盖脚本加载/执行的源<代码>脚本src'self'表示允许从加载页面本身的相同方案:/domain:port_number
加载外部脚本
Fithermore,没有什么可以阻止您使用XMLHTTPRequest从任何源加载脚本(因为
connect src*
)并执行它。此外,即使我允许连接到所有内容,但我已将script src设置为self,这是否意味着它将允许连接到所有内容,但脚本将被限制为self?