Noa*_*tas 9 security browser-security content-security-policy
connect-src在内容安全策略中指定指令是否会放宽浏览器的相同原始策略并允许您进行跨源XHR请求?或者此指令仅用于限制已经合法的XHR(即同一来源调用或CORS启用的调用)?
Mik*_*est 12
该connect-src指令不放宽同源政策; 它只是指定了一个可以连接的源列表,假设浏览器已经允许你连接它们(例如通过CORS).
通常,内容安全策略是作为作者可以用来限制页面功能的注释.它不授予新权限,但仅删除它们.