Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
在您的内容安全策略中指定connect-src指令是否会放宽浏览器的同源策略并允许您进行跨源 XHR 请求?还是该指令仅用于限制已经合法的 XHR(即同源呼叫或 CORS 启用的呼叫)?
connect-src
该connect-src指令没有放宽同源政策;它只是指定您可以连接的源列表,假设浏览器已经允许您连接到它们(例如通过 CORS)。
通常,内容安全策略是一个注释,您作为作者可以用来限制页面的功能。它不授予新的权限,而只是删除它们。