La direttiva connect-src di Content Security Policy consente di effettuare richieste tra domini diversi?

La specifica di una direttiva connect-src nella politica di sicurezza dei contenuti allenta lo stesso criterio di origine del browser e consente di effettuare richieste XHR di origine incrociata? Oppure questa direttiva è utilizzata solo per limitare XHR già legali (cioè le stesse chiamate di origine o chiamate abilitate da CORS)?La direttiva connect-src di Content Security Policy consente di effettuare richieste tra domini diversi?

fonte

2012-10-16 Noah Freitas

https://developer.mozilla.org/en-US/docs/Security/CSP/CSP_policy_directives – Reflective

@Reflective Grazie per il collegamento; Mozilla ha alcuni dei documenti migliori. La documentazione implica che ti consente di creare XHR di origine incrociata; tuttavia, non sono stato in grado di farlo funzionare nella pratica, e sospetto che la direttiva non riduca di per sé la stessa politica di origine. –

La direttiva connect-src non attenua la politica di origine identica; specifica semplicemente un elenco di sorgenti a cui è possibile connettersi, assumendo che il browser consenta già di connettersi a loro (tramite CORS, ad esempio).

In generale, la politica di sicurezza del contenuto è un'annotazione che puoi utilizzare come autore per limitare le capacità delle tue pagine. Non concede nuovi privilegi, ma li rimuove solo.

fonte

2012-11-08 14:06:58

Grazie. Non era la risposta che speravo, ma grazie per averlo detto chiaramente. –

La direttiva connect-src di Content Security Policy consente di effettuare richieste tra domini diversi?

risposta

Problemi correlati