并指定connect-src在内容安全政策指令,放松浏览器的同源策略,让你进行跨起源XHR请求? 或者是该指令只用来限制已经合法XHR(即同一产地来电或电话通过CORS启用)?
Answer 1:
该connect-src指令不放松的同源策略; 它只是规定了源,你可以连接列表,假设浏览器将已经允许您连接到他们(通过CORS,例如)。
在一般情况下,内容安全策略是一个注释,你作为一个作家可以用它来限制你的网页的功能。 它不授予新的权限,但只能删除它们。
文章来源: Does Content Security Policy's connect-src directive allow you to make cross domain requests?
