当设置 Content Security Policy(内容安全策略)时,你可以根据自己网站的需求和特点来定制安全策略指令。以下是一个简单的CSP安全策略指令示例,你可以根据需要进行修改和扩展:
<meta http-equiv="Content-Security-Policy" content="
default-src 'self';
script-src 'self' https://apis.example.com;
style-src 'self' https://fonts.heiqw.com;
img-src 'self' data:;
font-src 'self' https://fonts.heiqw.com;
connect-src 'self' https://api.heiqw wss://socket.heiqw.com;
frame-src https://www.heiqw.com;
object-src 'none';
base-uri 'self';
form-action 'self';
upgrade-insecure-requests;
">在这个例子中,安全策略指令包括了对默认源、脚本、样式、图片、字体、连接、嵌入框架、对象、基本URI和表单操作的限制。你可以根据自己网站的需求,逐条修改对应
注意
1、upgrade-insecure-requests;表示不安全的连接强制升级,也就是会强行用https,所以这个最好去掉
2、一般受限制的都是js脚本居多,会有恶意内容,其他的都可以放行,比如设置图片不限制就是:img-src *;,从而允许从任意来源加载图片