security - 内容安全策略的 connect-src 指令是否允许您进行跨域请求？

Question

在您的内容安全策略中指定connect-src指令是否会放宽浏览器的同源策略并允许您进行跨源 XHR 请求？还是该指令仅用于限制已经合法的 XHR（即同源呼叫或 CORS 启用的呼叫）？

Answer 1

该connect-src指令没有放宽同源政策；它只是指定您可以连接的源列表，假设浏览器已经允许您连接到它们（例如通过 CORS）。

通常，内容安全策略是一个注释，您作为作者可以用来限制页面的功能。它不授予新的权限，而只是删除它们。