是否可以使用 JavaScript 检测内容安全策略违规?
我的 CSP 工作并发送其报告,我看到一些 url 被注入,可能是通过浏览器插件注入的。我想向用户显示一个提示,即某些插件尝试修改页面。
我能否以某种方式检测与 javascript 中止的连接(当然,它本身已在 CSP 中列入白名单)?
根据W3C CSP 规范 https://w3c.github.io/webappsec-csp/#report-violation,违规会触发securitypolicyviolation
事件。您可以为此添加一个事件侦听器。
document.addEventListener("securitypolicyviolation", function(e) {
alert("Something is trying something bad!");
});
有关此事件的属性,请参阅上面的链接。
在 Firefox 版本中,您需要启用security.csp.enable_violation_events
启用此功能的首选项。看Firefox 中的实验性功能 https://developer.mozilla.org/en-US/docs/Mozilla/Firefox/Experimental_features#Security文档。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)