Ralat yang sering ditemui dalam konsol pembangun, seperti "Enggan...", adalah akibat daripada Dasar Keselamatan Kandungan (CSP), langkah keselamatan yang mengehadkan pemuatan sumber daripada sumber yang tidak dipercayai.
CSP membolehkan anda mengawal dari mana sumber boleh dimuatkan. Anda menentukan sumber yang dibenarkan melalui arahan dalam pengepala HTTP Content-Security-Policy. Dengan menetapkan sekatan ini, anda meminimumkan risiko suntikan kod berniat jahat seperti serangan XSS.
Arahan biasa termasuk:
1. Benarkan Berbilang Sumber:
content="default-src 'self' https://example.com/js/"
2. Tentukan Arahan Berbilang:
content="default-src 'self' https://example.com/js/; style-src 'self'"
3. Pengendalian Port:
content="default-src 'self' https://example.com:123/free/stuff/"
4. Mengendalikan Protokol Berbeza:
content="default-src 'self'; connect-src ws:; style-src 'self'"
5. Membenarkan Protokol Fail:
content="default-src filesystem"
6. Gaya Sebaris dan Skrip:
content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"
7. Membenarkan eval():
content="script-src 'unsafe-eval'"
8. Maksud 'diri':
'diri' merujuk kepada sumber dengan skema, hos dan port yang sama seperti fail yang ditakrifkan dasar.
9. Amaran Wildcard:
Semasa menggoda, menggunakan content="default-src *" membenarkan tindakan berisiko tertentu seperti membenarkan skrip sebaris dan eval(). Untuk kerentanan sebenar, pertimbangkan:
content="default-src * 'unsafe-inline' 'unsafe-eval'"
Atas ialah kandungan terperinci Bagaimanakah Dasar Keselamatan Kandungan (CSP) melindungi tapak web daripada suntikan kod berniat jahat?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
