我在一个页面上嵌入了一个JavaScript代码片段,它从另一个CDNcdnjs.com/xyz/main.js下载并附加到我的主JavaScript代码。到目前为止,这对我的客户来说效果很好。main.js能够进行AJAX调用并正常执行。
-
我的假设是否正确,即客户端必须在其CSP策略中允许
cdnjs.com域?这个过程是像我这样的设置所必需的吗? -
如果我将我的主JavaScript更改为,另外从另一个域
cdnjs2.com/abc/new.js下载并运行新的JavaScript代码,这个新JavaScript代码会运行良好并能够进行AJAX调用吗?
我的假设是否正确,即客户端必须在其CSP策略中允许cdnjs.com域?
好吧,因为默认情况下页面没有CSP策略,所以如果他们有CSP,就不能禁止该域。
如果我更改我的主JavaScript以从另一个域额外下载并运行新的JavaScript代码…
当存在CSP时,必须允许JS来源的每个位置,即使来源代码来自允许的位置。