Security 是否执行内容安全策略'；s connect src指令是否允许您进行跨域请求？_Security_Browser Security_Content Security Policy

Security 是否执行内容安全策略'；s connect src指令是否允许您进行跨域请求？

security

Security 是否执行内容安全策略'；s connect src指令是否允许您进行跨域请求？,security,browser-security,content-security-policy,Security,Browser Security,Content Security Policy,在内容安全策略中指定connect src指令是否会放松浏览器的同源策略并允许您发出跨源XHR请求？或者该指令仅用于限制已经合法的XHR（即，同源呼叫或CORS启用的呼叫）该指令并未放松同源策略；它只是指定一个您可以连接的源列表，假设浏览器已经允许您连接到它们（例如，通过CORS）通常，内容安全策略是一种注释，作为作者，您可以使用它来限制页面的功能。它不会授予新的特权，只会删除它们。@Reflective感谢您的链接；Mozilla确实有一些更好的文档。该文档暗示它确实允许您进行跨原点XHR；

在内容安全策略中指定

connect src

指令是否会放松浏览器的同源策略并允许您发出跨源XHR请求？或者该指令仅用于限制已经合法的XHR（即，同源呼叫或CORS启用的呼叫）

该指令并未放松同源策略；它只是指定一个您可以连接的源列表，假设浏览器已经允许您连接到它们（例如，通过CORS）

通常，内容安全策略是一种注释，作为作者，您可以使用它来限制页面的功能。它不会授予新的特权，只会删除它们。

@Reflective感谢您的链接；Mozilla确实有一些更好的文档。该文档暗示它确实允许您进行跨原点XHR；然而，我一直无法在实践中实现这一点，我怀疑该指令本身并没有真正放松同一原产地政策。谢谢。这不是我所希望的答案，但谢谢你说得这么清楚。