Content-Security-Policy
bearbeitet von Raketenwilli> Muss foo.example.com sagen, dass Code, der von ihm kommt, Cross-Origin Requests machen darf?
Ja.
Und wohin.
Beipiel:
Du macht eine Webseite, z.B. mit User-Content und befürchtest, dass Benutzer (z.B. in Kommentaren) JS-Coder oder sonstwas einbauen, was dann Code von Dritten Webservern einbindet.
Mit etwas wie
~~~
Content-Security-Policy: default-src 'self' cdn.example.org;
~~~
erlaubst nur dass Zeug vom gleichen HTTP-Host oder von cdn.example.org geholt und vor allem in die Webseite eingebaut wird. Der Browser überwacht darauf hin die Requests, welche von JS oder sonstwas in der Webseite ausgelöst werden.
**Das ist also sowas wie eine zweite Verteidigungslinie.** Macht man vor allem wenn man den „Truppen an der Front“ (dem Framework...) nicht vertraut.
[Macht man das so wie oben bekommt man tolle Buttons.](https://observatory.mozilla.org/analyze/code.fastix.org)