nodeJS – 我在哪里可以把内容安全策略
我发现这个CSP片段,但我不知道在哪里把它放在HTML中。
Content-Security-Policy: script-src 'self' https://apis.google.com
解?
var policy = "default-src 'self'; http.createServer(function ( req, res ) { res.writeHead(200, { 'Content-Security-Policy': policy }); });
您只需要将其设置在HTTP标头中,不需要HTML。 这是带有静态服务器的Express 4的一个工作示例:
var express = require('express'); var app = express(); app.use(function(req, res, next) { res.setHeader("Content-Security-Policy", "script-src 'self' https://apis.google.com"); return next(); }); app.use(express.static(__dirname + '/')); app.listen(process.env.PORT || 3000);
如果您想了解更多有关CSP的信息,这是一篇优秀的文章: http ://www.html5rocks.com/en/tutorials/security/content-security-policy/
希望有所帮助!