fetch 请求一个 http 协议的接口,实际请求出去的接口是 https 协议的?
有两种思路:
经检查,fetch 请求没有被重写,所以就着重看下思路二。经过不断的查找, 发现一个meta 标签:
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
原来是因为这个才把 http 自动转化为 https。
CSP 通过定义 Content-Security-Policy
HTTP 标头,允许创建信任内容的来源白名单,并指示浏览器仅执行或渲染来自这些来源的资源,而不要盲目地信任服务器提供的所有内容。即使攻击者发现漏洞并能够注入脚本,由于此脚本不符合此白名单,也不会执行该脚本。
可显著降低现代浏览器中 XSS 攻击的风险和影响的防护功能。
尽管脚本资源是最显而易见的安全风险,但 CSP 提供了一个丰富的策略指令集,让开发者可以对允许页面加载的资源进行相当精细的控制。其余指令有:
script-src
用于控制脚本对于某个特定页面所享有的一组权限。
base-uri
用于限制可在页面的 <base>
元素中显示的网址。
child-src
用于列出适用于工作线程和嵌入的帧内容的网址。例如: child-src https://youtube.com
将启用来自 YouTube(而非其他来源)的嵌入视频。 使用此指令替代已弃用的 frame-src
指令。
connect-src
用于限制可(通过 XHR、WebSockets 和 EventSource)连接的来源。
font-src
用于指定可提供网页字体的来源。Google 的网页字体可通过 font-src https://themes.googleusercontent.com
启用。
form-action
用于列出可从 <form>
标记提交的有效端点。
frame-ancestors
用于指定可嵌入当前页面的来源。此指令适用于 <frame>
、<iframe>
、<embed>
和 <applet>
标记。此指令不能在 <meta>
标记中使用,并仅适用于非 HTML 资源。
frame-src
已弃用。请改用 child-src
。
img-src
用于定义可从中加载图像的来源。
media-src
用于限制允许传输视频和音频的来源。
object-src
可对 Flash 和其他插件进行控制。
plugin-types
用于限制页面可以调用的插件种类。
report-uri
用于指定在违反内容安全政策时浏览器向其发送报告的网址。此指令不能用于 <meta>
标记。
style-src
是 script-src
版的样式表。
upgrade-insecure-requests
指示 User Agent 将 HTTP 更改为 HTTPS,重写网址架构。 该指令适用于具有大量旧网址(需要重写)的网站。
// header
Content-Security-Policy: upgrade-insecure-requests;
// meta tag
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
请求出去的任何 URL 将在请求发生之前被重写,这意味着没有不安全的请求会触及网络。如果请求的资源通过 HTTPS 实际上不可用,则该请求将失败,而不会返回到 HTTP。
默认值
如果没有给一个指令设置具体的值,则默认值是 *
。font-src '*'
表示可以从任意位置加载字体,没有任何限制。
替换默认值
通过指定一个 default-src
指令替换默认行为。 此指令用于定义未指定的大多数指令的默认值。 一般情况下,适用于以 -src
结尾的任意指令。
如果将 default-src
设为 https://example.com
,并且您未能指定一个 font-src
指令,那么,您可以从 https://example.com
加载字体,而不能从任何其他地方加载。
以下指令不使用 default-src
作为回退指令。如果不对其进行设置,则等同于允许加载任何内容。
base-uri
form-action
frame-ancestors
plugin-types
report-uri
sandbox
多个指令
可以设置任意数量的指令,只需在 HTTP 标头中列出每条指令,并使用分号将它们隔开。
// header
Content-Security-Policy: default-src https://cdn.example.net; child-src 'none'; object-src 'none'
// meta tag
<meta http-equiv="Content-Security-Policy" content="default-src https://cdn.example.net; child-src none; object-src none">
一个指令多个值
如果想在一条指令中列出所需的特定类型的全部资源, 以空格分割多个值。
// header 正确使用
Content-Security-Policy: script-src https://host1.com https://host2.com
// header 错误使用
// https://host2.com 会被忽略
Content-Security-Policy: script-src https://host1.com; https://host2.com
参考: 内容安全政策
CSS3实现酷炫的3D旋转透视 3D动画效果现在越来越普及,已经被广泛的应用到了各个...
打开软件,我们按快捷键ctrl+n,建立一个新的文件。 点击常用,选择布局。 点击...
一、作用 离线浏览 - 根据文件规则把资源缓存在本地,脱机依然能够访问资源,联...
作者 / Krish Vitaldevara,Google Play 信任与安全产品管理总监 多年来,向数十...
在讲CSS优先级之前,我们得要了解什么是CSS,CSS是用来做什么的。 首先,我们对C...
行高line-height实现单行文本垂直居中 以前一直认为单行文本垂直居中要将高度和...
Dreamweaver中如何使用Flash影片 1、首先需要我们准备的是一个Flash文件,其次最...
在ie下设置 css 样式 style="cursor:hand;" 可以正常显示 但是在firefox下就不行...
最近在做项目时,发现CSS3中关于动画的技术,自己很少运用在项目中,平时一些列...
背景 京东购物小程序作为京东小程序业务流量的主要入口,承载着许多的活动和页面...