コンテンツセキュリティポリシーでconnect-src
ディレクティブを指定すると、ブラウザの同じ発信元ポリシーが緩和され、クロスオリジンXHR要求を行うことができますか?または、このディレクティブは、すでに有効なXHR(つまり、CORSによって有効化された同じ発信元コールまたはコール)を制限するためにのみ使用されますか?Content Security Policyのconnect-srcディレクティブは、相互ドメイン要求を可能にしますか?
9
A
答えて
12
connect-src
ディレクティブは同じ起点ポリシーを緩和しません。ブラウザがすでに(CORSなどを介して)それらに接続することを許可していると仮定すると、接続できるソースのリストを指定するだけです。
一般に、コンテンツセキュリティポリシーは、作成者がページの機能を制限するために使用できるアノテーションです。新しい権限を付与するのではなく、削除するだけです。
+0
ありがとうございます。それは私が望んでいた答えではありませんでしたが、それをとても明確に述べてくれてありがとう。 –
関連する問題
- 1. Content-Security-PolicyとContent-Security-Policy-Report-Only-Headerは、互いに干渉することなく共存できます。
- 2. Ajax Content Security Policyディレクティブを克服する方法は?
- 3. バックエンドAPIにContent-Security-Policy HTTPヘッダーを使用しますか?
- 4. Content-Security-Policyはどこで設定できますか?
- 5. X-Frame-OptionsとContent-Security-Policyヘッダーのセキュリティの違いは?
- 6. Google Chromeの拡張機能でContent-Security-Policyエラーが発生する
- 7. puppeteerのAPI page.addScriptTagを使用してCSP(Content-Security-Policy)をバイパスする方法
- 8. エンティティフレームワークよりSilverlight Webアプリケーションにcontent-security-policyタグを使用する方法
- 9. 完全修飾絶対URLを使用したcontent-security-policy-report-only-report-uri
- 10. Content Security Policyのstyle-src 'self'に違反することなく、JS内でスタイルを設定できますか?
- 11. なぜContent-Security-PolicyはChromeにJavascriptを順番にロードさせるのですか?
- 12. 要求レベルのドメインをアプリケーションレベルで制限することは可能ですか?
- 13. 可変リソース要求を伴うPBSディレクティブ
- 14. Apache Files要求されたドメインに一致するディレクティブ
- 15. 相互に再帰的なクラスは可能ですか?
- 16. Content-Security-Policyを通じてHTML要素の属性で `javascript:void(0)`を使用するにはどうしますか?
- 17. content-security-policyメタタグを使用して混在コンテンツ(httpsとhttp)を許可するにはどうすればよいですか?
- 18. 再利用可能なテーブルビューのセルは相互作用なしに互いに影響を受けます
- 19. 相互運用可能なブラウザ拡張オブジェクトの@typeはありますか?
- 20. 単純なNodeJS http要求はカールに相当します
- 21. ABAPにおけるローカルインタフェースの相互参照は不可能ですか?
- 22. 訪問者ネットワークからの投稿要求を送信しますか?可能?
- 23. Mod Security - xmlを使用して本文を要求する
- 24. HttpClientがドメインの変更要求を変更しています
- 25. CNAMEレコードを使用してドメイン間の要求を許可することはできますか?
- 26. Spring Security 3.0:認証後のGET要求
- 27. 機能はAdd-Contentの値を要求し、ディレクトリとして.txtファイルを扱います
- 28. Content-Lengthのないhttp要求の応答を取得していますか?
- 29. ssrs null可能なパラメータが値を要求しています
- 30. ハッシュ可能なクラスとPythonのEnumとの相互作用
https://developer.mozilla.org/en-US/docs/Security/CSP/CSP_policy_directives – Reflective
@Reflectiveリンクに感謝します。 Mozillaには、より良い文書がいくつかあります。ドキュメンテーションは、クロスオリジンXHRを作成できることを意味します。しかし、私はこれを実際に動作させることができませんでした。私は、この指令が実際には同じ原産地政策を自ら緩和するものではないと考えています。 –