Xss 标头集内容安全策略未正确处理多个域
我正试图通过Apache设置以下指令来防止XSS攻击:Xss 标头集内容安全策略未正确处理多个域,xss,apache,Xss,Apache,我正试图通过Apache设置以下指令来防止XSS攻击: Header set Content-Security-Policy "default-src 'self' code.jquery.com;" 只允许jquery.com CDN,这非常方便。 但是,该指令在Firefox中不断向我提供以下信息: 页面的设置阻止了资源的自加载 (“脚本src”) 这是一个格式错误 输入包含http:// 像这样: 一个有用的提示:如果需要,可以使用通配符*作为域名前缀 像这样:http://*.jque
Header set Content-Security-Policy "default-src 'self' code.jquery.com;"
只允许jquery.com CDN,这非常方便。
但是,该指令在Firefox中不断向我提供以下信息:
页面的设置阻止了资源的自加载
(“脚本src”)
这是一个格式错误
输入包含http://
像这样:
一个有用的提示:如果需要,可以使用通配符*作为域名前缀
像这样:http://*.jquery.com或*.jquery.com我认为这不是一个好答案,我们可以继续读下去 即: 允许Google分析、Google AJAX CDN和相同来源 脚本src'self'ajax.googleapis.com 所以没有,只是域名 正确答案是-添加脚本src块: 标题集内容安全策略“默认src'self'code.jquery.com;脚本src'self'code.jquery.com;”