首页 > 试题广场 >

对于Content-Security-Policy:defa

[单选题]
对于Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com
描述错误的是 
  • 允许网页应用的用户在他们自己的内容中包含来自任何源的图片
  • 限制音频或视频需从信任的资源提供者 media1.com media2.com (获得)
  • 可运行脚本仅允许来自于userscripts.example.com
  • 资源只能来自于当前域名
查看答案及解析
添加回答
cccchen果粒头像 cccchen果粒
搬运一下~
网页安全政策"(Content Security Policy,缩写 CSP) CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。另一种是通过网页的<meta>标签。
题目涉及到的:
default-src ‘self ' :表示限制所有的外部资源,都只能从当前域名加载。
script-src :外部脚本
media-src:媒体文件(音频和视频)
img-src:图像
如果同时设置某个单项限制(比如font-src)和default-src,前者会覆盖后者,即字体文件会采用font-src的值,其他资源依然采用default-src的值。

发表于 2022-03-22 10:39:02 回复(0)
hungry_&_foolish头像 hungry_&_foolish

跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们,浏览器自动禁止外部注入恶意脚本.

CSP 的实质就是白名单制度,开发者明确告诉客户端,**哪些外部资源可以加载和执行,**等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。

  我是没学过,搬运工几句话。。。
发表于 2021-08-17 14:35:08 回复(0)
要暴富的秋田犬很喜欢溜溜球头像 要暴富的秋田犬很喜欢溜溜球

这个 Content Security Policy (CSP) 规则包括了以下几个部分:

  1. default-src 'self':指定了默认的资源加载策略,允许从同一来源加载所有类型的资源。

  2. img-src *:允许从任何来源加载图像资源。

  3. media-src media1.com media2.com:允许从media1.com和media2.com加载媒体资源。

  4. script-src userscripts.example.com:只允许从userscripts.example.com加载脚本。

发表于 2024-01-10 14:00:25 回复(0)
苏里苏里头像 苏里苏里
 default-src 'self'不就是限制所有的外部资源,都只能从当前域名加载吗,D为啥错
发表于 2021-08-19 19:53:47 回复(2)
提交观点

问题信息

中国电子云 前端工程师 2021
来自:中国系统2021校园招...
上传者:小小
难度:
4条回答 872浏览

热门推荐

相关试题

扫一扫,把题目装进口袋

求职之前,先上牛客

扫描二维码,进入QQ群

扫描二维码,关注牛客公众号