Может ли CSP ограничивать соединения динамически загружаемого скрипта? - PullRequest
2 голосов
/ 07 ноября 2019

Мой сайт загружает стороннюю библиотеку, которая загружает все виды сценариев для очистки данных с моего сайта и отправки их на собственные серверы через XHR для анализа. Я хочу наложить ограничение на то, чтобы моя страница могла общаться только с моими серверами и сторонним сервером, и никакие другие подключения не были бы установлены.

Мне интересно, будет ли CSP connect-src делать это?

Например, допустим, мой сайт - x.com, а третье лицо - y.com

Если y.com загружает скрипт, который отправляет данные на y.com, это нормально, но не если он отправляетэто к z.com

Я еще не начал реализовывать это.

1 Ответ

2 голосов
/ 07 ноября 2019

Это можно контролировать в заголовке Content-Security-Policy с помощью connect-src

connect-src 'self' http://y.com https://y.com;
...