背景与价值连接类API易被滥用。通过connect-src白名单可在浏览器层阻断不受控外联。统一规范白名单:仅允许受控域与子路径。特殊通道:针对WebSocket端点单独治理。动态更新:按环境与页面差异化下发。核心实现头设置type Res = { setHeader: (k: string, v: string) => void } function setConnectCsp(res: Res, endpoints: string[]) { const v = `connect-src 'self' ${endpoints.join(' ')}` res.setHeader('Content-Security-Policy', v) } 落地建议将API与WebSocket端点纳入白名单并按环境区分;禁止通用通配。验证清单是否按白名单下发 `connect-src`;端点是否仅限受控域。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复