浏览器里通过xmlhttprequest是无法跨域请求的,但是可以利用script加载跨域的脚本,这就导致了很多不怀好意的浏览器插件在任意站点植入自己想要的脚本, 一般是通过document.body.appendChild()方法植入恶意script脚本的
方法/步骤
2
说到底Content-Security-Policy是现代浏览器增加的特性,服务器发给浏览器的Content-Security-Policy标识,还是需要浏览器识别支持的,目前大部分浏览器都能够支持该特性
注意事项
Content-Security-Policy目前很多站长都不知道,包括一些大厂,但是绝对是一个可以好好利用网络安全的利器
下一篇:html5培训几点个人心得