面向对象:开发者
CSP 能够阻止你的页面中一些内容被加载或执行
介绍可以看这: http://mdn.io/csp
规范看这: http://www.w3.org/TR/CSP/
一个例子(HTTP Response Header):
Content-Security-Policy: default-src *; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.v2ex.com www.google-analytics.com; frame-src 'self' gist.github.com www.youtube.com player.youku.com; font-src 'self' *.v2ex.com fonts.gstatic.com; connect-src 'self' *.v2ex.com
default-src
是 fallback,中间的很好理解,connect-sr
c 是 XMLHttpRequest.open
和 websocket 之类;
规范不长,可以花点时间看看。
还能防一些 XSS 生效;
如果禁掉 'unsafe-inline'
的话,大概还能防 ABP 之类。
如果你自己写代理上网的话,大概还能用它来阻止广告、ga 之类
1
xiaody 2014-09-19 20:39:07 +08:00
zhihu已经在用了
|
2
DreaMQ 2014-09-19 21:14:18 +08:00
HTTPS才是王道
|
3
jakwings 2014-09-19 22:15:45 +08:00 1
HTTPS 才是王道。楼主会发现写规则好麻烦,最终只为论坛加点防御力。
还有 X-Iframe-Options 禁止网页被镶嵌。 |
5
whywhywhy 2014-09-20 02:45:55 +08:00
“被运营商劫持后的影响”
嗯,以后运营商不劫持html页面了,劫持js文件。 |