【说站】学习下meta标签http-equiv=Content-Security-Policy的属性及其作用
今天更新导航主题模板的时候发现了这个标签,然后又重新的学习了一下,发现挺有意思的哈,这个meta是html标签不是什么“元宇宙”,它已经超出了我的认知范围,当然了,这个标签包含了太多的功能,我们今天要了解的是“Content-Security-Policy”属性及其作用。
我们以“Content-Security-Policy”参数为例,设置参数值为:“upgrade-insecure-requests”,在https页面中,如果调用了http资源,那么浏览器就会抛出一些错误。为了改变成这一状况,chrome(谷歌浏览器)会在http请求中加入 ‘Upgrade-Insecure-Requests: 1’ ,服务器收到请求后会返回 “Content-Security-Policy: upgrade-insecure-requests” 头,告诉浏览器,可以把所属本站的所有 http 连接升级为 https 连接。
代码如下,复制可以直接使用:
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
其实 W3C 工作组考虑到了我们升级 HTTPS 的艰难,早在 2015 年 4 月份就出了一个 Upgrade Insecure Requests 的草案,他的作用就是让浏览器自动升级请求,这个设置不会对外域的 a 链接做处理,所以可以放心使用。
如果不想放在网页中的话,我们还可以在服务器的配置的响应头中加入:
header("Content-Security-Policy: upgrade-insecure-requests");
目前支持这个设置的还只有 chrome 43.0,不过我相信,CSP 将成为未来 web 前端安全大力关注和使用的内容。而 upgrade-insecure-requests 草案也会很快进入 RFC 模式。当然了“http-equiv”还有更多更好的作用,感兴趣的童鞋自己百度下吧,基本常用的服务器一般都会集成了,现在的CDN也都很完善也是可以自定义头部信息的,好了,学习了解之后一起加上吧,尤其是刚刚到https的网站最适用啦!
本站发布的内容若侵犯到您的权益,请邮件联系站长删除,我们将及时处理!
从您进入本站开始,已表示您已同意接受本站【免责声明】中的一切条款!
本站大部分下载资源收集于网络,不保证其完整性以及安全性,请下载后自行研究。
本站资源仅供学习和交流使用,版权归原作者所有,请勿商业运营、违法使用和传播!请在下载后24小时之内自觉删除。
若作商业用途,请购买正版,由于未及时购买和付费发生的侵权行为,使用者自行承担,概与本站无关。