10

在您的内容安全策略中指定connect-src指令是否会放宽浏览器的同源策略并允许您进行跨源 XHR 请求?还是该指令仅用于限制已经合法的 XHR(即同源呼叫或 CORS 启用的呼叫)?

4

1 回答 1

13

connect-src指令没有放宽同源政策;它只是指定您可以连接的源列表,假设浏览器已经允许您连接到它们(例如通过 CORS)。

通常,内容安全策略是一个注释,您作为作者可以用来限制页面的功能。它不授予新的权限,而只是删除它们。

于 2012-11-08T14:06:58.630 回答