[英]Security difference between X-Frame-Options and Content-Security-Policy headers?
这些HTTP头似乎也做同样的事情,尽管后者具有更大的灵活性。
Content-Security-Policy提供了任何额外的安全性吗?
X-FRAME-OPTIONS允许您保护您的网站不被其他网站框起。
例如, X-FRAME-OPTIONS:SAMEORIGIN将允许您的网站仅嵌入到同一域中的iframe中。 需要防止ClickJacking攻击。
但内容安全政策的目的完全不同。 CSP规范说:
内容安全策略是一种声明性策略,允许Web应用程序的作者(或服务器管理员)通知客户端应用程序期望加载资源的位置。
因此,它的主要目的是通过不允许浏览器从未知域加载资源(脚本等)来保护您的站点免受XSS攻击。
Firefox中框架的X-Frame-Options和Content-Security-Policy
[英]X-Frame-Options and Content-Security-Policy for frames in Firefox
将 Content-Security-Policy 标头添加到 Javascript 资源是否有好处?
[英]Is there a benefit to adding Content-Security-Policy headers to Javascript resources?
在HAproxy中使用Content-Security-Policy框架祖先
[英]Using Content-Security-Policy frame-ancestors with HAproxy
用Javascript捕获Content-Security-Policy异常
[英]Catching Content-Security-Policy exceptions with Javascript
Content-Security-Policy 和 Content-Security-Policy-Report-Only 头可以共存而不互相干扰吗
[英]Can Content-Security-Policy and Content-Security-Policy-Report-Only headers coexist without interfering with each other
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
