aws apmācība iesācējiem || AWS Tiešsaistes apmācība || Aws apmācība

Es vēlos aizsargāt savu vietni, izmantojot satura drošības politiku. Es izdomāju šādu politiku:

X-Content-Security-Policy: default-src https://www.example.com https://static.example.com; script-src https://ajax.googleapis.com 

Man ir divi jautājumi par satura drošības politiku, kuru vēlos iestatīt.

  1. Es izmantoju Google CDN tikai, lai iegūtu jQuery bibliotēku. Vai ir iespējams izveidot politiku, kas ļauj tikai dažus skriptus ielādēt no domēna, nevis vispārīgus script-src?
  2. Vai mana politika ir pareiza? Piem., kam ir divi domēni default-src un atsevišķu domēnu script-src. Vai es joprojām varēšu serveri script-src failus, izmantojot savus domēnus?

Q1: Nē. W3C specifikācijā teikts, ka script-src saimniekus norāda šādi:

( [ scheme '://' ] host [ port ] ) 

tāpēc neko pēc resursdatora vai porta nevar izmantot.

Attiecībā uz 2. jautājumu: pēc manas specifikācijas lasīšanas jā, tas ir pareizi.

Ja politikā tas nav skaidri norādīts, iepriekš uzskaitītajās direktīvās tiks izmantoti noklusējuma avoti.

Tātad kā noklusējums visam ir divi domēni, un pēc tam jūs vēl vairāk uzlabojat skriptu-src ar konkrētu domēnu. Tomēr, ja vēlaties apkalpot skripta-src failus no sava domēna, jums tas jāpievieno pēc ajax.googleapis.com.

strādāja par jums: Charles Robertson | Vēlies ar mums sazināties?