Security 是否执行内容安全策略';s connect src指令是否允许您进行跨域请求?
在内容安全策略中指定Security 是否执行内容安全策略';s connect src指令是否允许您进行跨域请求?,security,browser-security,content-security-policy,Security,Browser Security,Content Security Policy,在内容安全策略中指定connect src指令是否会放松浏览器的同源策略并允许您发出跨源XHR请求?或者该指令仅用于限制已经合法的XHR(即,同源呼叫或CORS启用的呼叫)该指令并未放松同源策略;它只是指定一个您可以连接的源列表,假设浏览器已经允许您连接到它们(例如,通过CORS) 通常,内容安全策略是一种注释,作为作者,您可以使用它来限制页面的功能。它不会授予新的特权,只会删除它们。@Reflective感谢您的链接;Mozilla确实有一些更好的文档。该文档暗示它确实允许您进行跨原点XHR;
connect src
指令是否会放松浏览器的同源策略并允许您发出跨源XHR请求?或者该指令仅用于限制已经合法的XHR(即,同源呼叫或CORS启用的呼叫)该指令并未放松同源策略;它只是指定一个您可以连接的源列表,假设浏览器已经允许您连接到它们(例如,通过CORS)
通常,内容安全策略是一种注释,作为作者,您可以使用它来限制页面的功能。它不会授予新的特权,只会删除它们。@Reflective感谢您的链接;Mozilla确实有一些更好的文档。该文档暗示它确实允许您进行跨原点XHR;然而,我一直无法在实践中实现这一点,我怀疑该指令本身并没有真正放松同一原产地政策。谢谢。这不是我所希望的答案,但谢谢你说得这么清楚。