Sil*_*eri 9 html xss localhost content-security-policy
我meta在我的标签中设置了以下标签index.html,简化了本地开发,但也将部署在生产代码中:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' localhost:* ws://localhost:*;">
有没有任何已知的方法,这样添加localhost可以允许任何类型的跨站点脚本攻击?
据谷歌的CSP评估员说,似乎没关系(好吧,localhost至少部分).
这不是最佳选择,但不会显着降低用户的安全性。
这样做的原因是浏览器和计算机构成了任何网页的可信计算基础。如果您从不受信任的机器上浏览,世界上没有网页可以实施的安全规则来保证您的数据安全和交易所的隐私。
| 归档时间: |
|
| 查看次数: |
5050 次 |
| 最近记录: |