10

コンテンツ セキュリティ ポリシーでディレクティブを指定するconnect-srcと、ブラウザの同一オリジン ポリシーが緩和され、クロスオリジン XHR リクエストを作成できるようになりますか? それとも、このディレクティブは、すでに合法的な XHR (つまり、同じオリジンの呼び出しまたは CORS によって有効化された呼び出し) を制限するためにのみ使用されますか?

4

1 に答える 1

13

このconnect-srcディレクティブは同一生成元ポリシーを緩和しません。接続できるソースのリストを指定するだけで、ブラウザーが (たとえば CORS 経由で) それらへの接続を既に許可していると仮定します。

一般に、コンテンツ セキュリティ ポリシーは、作成者がページの機能を制限するために使用できる注釈です。新しい特権を付与するのではなく、それらを削除するだけです。

于 2012-11-08T14:06:58.630 に答える