私は、ユーザーが維持しているサイトの特定の領域に対してCSSを定義できる状況があります。彼らはリモートリソースをこのドキュメントに挿入し、その後ゲストのユーザがページにアクセスしてこれらのリソースに対するIP要求を記録することができます。同じオリジンポリシーをより厳密に設定できますか?
リモートURLをフィルタリングする浄化システムを追加しないと、クライアントに指示しない方法がありますANY外国からのリクエスト?私のサイトは原点で100%自己完結しており、外国のCDNリクエストはありません。私は基本的にそれが外国の要求がブロックされるようにしたい。
Content Security Policyは、サイトに含めることができるリソースを制限することがあります。例えば
、これが唯一のロードスタイルを含め
Content-Security-Policy: script-src 'self' https://apis.google.com
オプション、
style-src独自のドメインからと、Googleのドメインからスクリプトを読み込むためにページを制限するスクリプト-SRCのカウンターパートでありますスタイルシート用。connect-srcは、あなたの代わりに(XHR、WebSocketを、とのEventSource経由)frame-src使用子-SRCを接続できる起源を制限します。img-srcは、イメージを読み込むための起点を定義します。media-srcは、ビデオとオーディオの配信が許可されている発信元を制限します。
恐ろしい示唆ではありませんが、防弾はほとんどありません。これを実行するかどうかはブラウザに任されており、決定された「攻撃者」は[それをサポートしていないブラウザ](http://caniuse.com/#feat=contentsecuritypolicy)の使用を簡単に選択できます。 – Michael
ええ、安全なソフトウェアであるかどうかは、ブラウザによって異なります。ユーザーが安全でないブラウザを使用している場合は、その選択肢です。攻撃者が使用しているブラウザはどのように重要ですか? – C14L
優秀、ありがとうございます。 – Josh