我对CSP的理解很困惑。根据文档和一些YouTube视频,如果我想在我的网站中添加CSP,我可以做一个meta标签,比如
<meta http-equiv="Content-Security-Policy"
content="default-src 'self' 'unsafe-inline'; script-src 'self' https://kit.fontawesome.com/----.js; style-src 'self' https://fonts.googleapis.com/--- 'unsafe-inline'; img-src'self' ;">
我真正的目标是简单地阻止我在网站上的表单中的XSS攻击,或者其他类型的攻击。我知道我可以写一些JavaScript并实现一个escaper函数,但我读过CSP将完成大部分工作。
现在假设'self'使用该项目(原点(中的所有脚本/images/css,对吗?或者我误解了什么。我搜索了stackoverflow、谷歌和youtube,但没有找到答案。每次我试图相应地调整它时,要么我所有的数据都消失了(我相信这是因为谷歌字体(,要么它变得草率了。
如果您使用的是googlechrome,那么您应该打开您的开发工具,查看控制台中打印出的错误。如果资源被您的内容安全策略阻止,Chrome会提醒您。
此外,根据您的情况,您可能希望查看"仅内容安全策略报告",因为它可能允许您以较小的步骤实施更改。