有没有一个指令可以放在HTML中,阻止所有JavaScript为该页面运行?浏览器会看到这个元数据或指令,然后在此基础上启用或禁用JavaScript。
假设您想要创建一个类似Codepen的HTML游乐场,用户可以在其中键入HTML标记,该标记显示在另一个框架中,但您不希望他们运行JavaScript,或者您希望基于权限限制它。
我想要一种通过标记来定义页面的方法,在这里我可以禁用Javascript,或者设置相同的原点或设置交叉原点。
<html>
<head allowScript="none">
</head>
</html>
<html>
<head allowScript="same-domain">
</head>
</html>
<html>
<head allowScript="remote-domain">
</head>
</html>
<html>
<head allowScript="all">
</head>
</html>
这样,我就可以有一个页面,不允许加载JavaScript,只允许从同一个网站加载JavaScript,或者只允许在异地加载JavaScript,或允许同一个站点并允许远程加载。
这有道理吗?我知道有一些浏览器扩展可以处理所有这些,但我想要一个页面指令。
我想你要找的是">内容安全策略";可以通过HTTP响应头或通过index.htm.中的META标签设置
例如。。。
<meta http-equiv="Content-Security-Policy" content="default-src https:">
内容安全策略是一个庞大而相当复杂的主题,最好由。。。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy