csp 主要是搞当前页面加载各种资源的白名单,并且禁止<body>内再出现inline javascript,并建议不要再用拼接字符串再eval的调用方式减少注入
参考:
http://threatpost.com/csp-1-0-added-to-firefox-to-block-xss-attacks/
http://www.html5rocks.com/en/tutorials/security/content-security-policy/?ModPagespeed=noscript
http://www.slideshare.net/m2w2/w3c-content-security-policy
http://benvinegar.github.io/csp-talk-2013/#1
没有评论:
发表评论