La specifica di una direttiva connect-src
nella politica di sicurezza dei contenuti allenta lo stesso criterio di origine del browser e consente di effettuare richieste XHR di origine incrociata? Oppure questa direttiva è utilizzata solo per limitare XHR già legali (cioè le stesse chiamate di origine o chiamate abilitate da CORS)?La direttiva connect-src di Content Security Policy consente di effettuare richieste tra domini diversi?
9
A
risposta
12
La direttiva connect-src
non attenua la politica di origine identica; specifica semplicemente un elenco di sorgenti a cui è possibile connettersi, assumendo che il browser consenta già di connettersi a loro (tramite CORS, ad esempio).
In generale, la politica di sicurezza del contenuto è un'annotazione che puoi utilizzare come autore per limitare le capacità delle tue pagine. Non concede nuovi privilegi, ma li rimuove solo.
+0
Grazie. Non era la risposta che speravo, ma grazie per averlo detto chiaramente. –
Problemi correlati
- 1. Chrome Extension "Rifiutato di caricare lo script perché viola la seguente direttiva di Content Security Policy"
- 2. Modernizr causa errori di violazione di Content Security Policy (CSP)
- 3. Posso impostare le intestazioni nelle richieste json tra domini diversi?
- 4. Configura il server IIS per utilizzare l'intestazione "Content-Security-Policy"
- 5. Rifiutato di caricare lo script perché viola la seguente direttiva Content Security Policy: "style-src 'self' 'non sicuro-inline'
- 6. richieste tra domini con JSON
- 7. JavaFX WebView disabilita la stessa politica di origine (consentire richieste tra domini diversi)
- 8. Lancio di Javascript: rifiutato di eseguire il gestore di eventi inline perché viola la seguente direttiva di Content Security Policy: "script-src 'self'
- 9. FireBug e monitoraggio richieste tra domini JSONP
- 10. Richieste AJAX tra domini con IE9
- 11. Come posso effettuare richieste tra domini con intestazioni personalizzate senza utilizzare XDomainRequest o XMLHttpRequest?
- 12. In che modo il client Advanced REST di Google Chrome effettua richieste POST tra domini diversi?
- 13. Come posso consentire i contenuti misti (http con https) utilizzando il meta tag content-security-policy?
- 14. Errore di visualizzazione di Chrome come: Rifiutato di eseguire script inline a causa di Content-Security-Policy
- 15. Il sottodominio è considerato tra domini diversi?
- 16. htaccess: reindirizza tutte le richieste a domini diversi
- 17. Perché alcune richieste JSON tra domini falliscono ma altre no?
- 18. La politica di Content Security blocca i bookmarklet?
- 19. come il postino invia richieste? ajax, same origin policy
- 20. Quali sono i rischi della comunicazione JSONP tra domini diversi?
- 21. AngularJS e tra domini POST
- 22. Condividi dati asincroni tra i controller senza effettuare più richieste
- 23. Specifica di server DNS diversi per domini diversi
- 24. La mangusta consente più richieste di database contemporaneamente?
- 25. Come modificare lo stile del contenuto iframe tra domini diversi?
- 26. Quali sono i rischi per la sicurezza nell'utilizzo di XMLHttpRequest tra domini diversi?
- 27. Come ascoltare i codici di stato di reindirizzamento 301/302 nelle richieste di immagini tra domini?
- 28. È possibile effettuare richieste JSON utilizzando il Builder di Fiddler?
- 29. jQuery: effettuare richieste ajax simultanee, è possibile?
- 30. Chiamata di autenticazione di base tra domini JQuery
https://developer.mozilla.org/en-US/docs/Security/CSP/CSP_policy_directives – Reflective
@Reflective Grazie per il collegamento; Mozilla ha alcuni dei documenti migliori. La documentazione implica che ti consente di creare XHR di origine incrociata; tuttavia, non sono stato in grado di farlo funzionare nella pratica, e sospetto che la direttiva non riduca di per sé la stessa politica di origine. –