コンテンツセキュリティポリシーでconnect-src
ディレクティブを指定すると、ブラウザの同じ発信元ポリシーが緩和され、クロスオリジンXHR要求を行うことができますか?または、このディレクティブは、すでに有効なXHR(つまり、CORSによって有効化された同じ発信元コールまたはコール)を制限するためにのみ使用されますか?Content Security Policyのconnect-srcディレクティブは、相互ドメイン要求を可能にしますか?
9
A
答えて
12
connect-src
ディレクティブは同じ起点ポリシーを緩和しません。ブラウザがすでに(CORSなどを介して)それらに接続することを許可していると仮定すると、接続できるソースのリストを指定するだけです。
一般に、コンテンツセキュリティポリシーは、作成者がページの機能を制限するために使用できるアノテーションです。新しい権限を付与するのではなく、削除するだけです。
+0
ありがとうございます。それは私が望んでいた答えではありませんでしたが、それをとても明確に述べてくれてありがとう。 –
関連する問題
- 1. X-Frame-OptionsとContent-Security-Policyヘッダーのセキュリティの違いは?
- 2. Google Chromeの拡張機能でContent-Security-Policyエラーが発生する
- 3. Content Security Policyのstyle-src 'self'に違反することなく、JS内でスタイルを設定できますか?
- 4. なぜContent-Security-PolicyはChromeにJavascriptを順番にロードさせるのですか?
- 5. 要求レベルのドメインをアプリケーションレベルで制限することは可能ですか?
- 6. 相互に再帰的なクラスは可能ですか?
- 7. Spring Security 3.0:認証後のGET要求
- 8. 複数のディレクティブ[ディレクティブ#1、ディレクティブ#2]が隔離されたスコープを要求しています
- 9. Content-Lengthのないhttp要求の応答を取得していますか?
- 10. Apacheがサブドメインリクエストにドメイン要求を書き直します
- 11. CNAMEレコードを使用してドメイン間の要求を許可することはできますか?
- 12. 別のドメインでScrapyが同じURLを要求した場合、そのURLを要求しますか?
- 13. MongoDBの要求(これは可能ですか?)
- 14. idによるドメイン間の要求
- 15. Ajaxはドメイン間のjsonデータと表示を要求しますか?
- 16. COM相互運用機能
- 17. Phonegap相互運用機能
- 18. Spring SecurityはどのようにしてWebアプリケーション要求のスレッドでSecurityContextを管理しますか?
- 19. ドメイン名ではないCORS要求へ
- 20. Ajax同じドメインのみ要求します。制限クロスドメインajax
- 21. 別のドメインから同じリソースを要求した場合にのみCORS要求が失敗する
- 22. htaccessドメインによる外部スクリプト要求を停止しますか?
- 23. WCF/WebService:相互運用可能な例外処理
- 24. LDAPの「要求」をtelnetで送ることは可能ですか?
- 25. Spring Security:タイムアウトログイン後にjsonファイルをブラウザに返します。通常はAjaxでのみ要求されます。
- 26. Kohanaの3.2要求 - >ヘッダ[ 'Content-Typeの']は
- 27. 複数レベルの相互ドメインiframeからトップレベルウィンドウのURLを特定する
- 28. AngularJS 1.5コンポーネントでディレクティブを要求できません
- 29. Nginx - ドメイン*のすべてのルート要求をwww要求に変換/リダイレクトすることができます
- 30. 実行可能ファイルがデプロイメントプロジェクトの一部である場合に昇格を要求していません
https://developer.mozilla.org/en-US/docs/Security/CSP/CSP_policy_directives – Reflective
@Reflectiveリンクに感謝します。 Mozillaには、より良い文書がいくつかあります。ドキュメンテーションは、クロスオリジンXHRを作成できることを意味します。しかし、私はこれを実際に動作させることができませんでした。私は、この指令が実際には同じ原産地政策を自ら緩和するものではないと考えています。 –