El HTTP Content-Security-Policy (CSP) connect-src La directiva restringe las URL que se pueden cargar mediante interfaces de secuencia de comandos. Las API que están restringidas son:

Nota:connect-src 'self' no resuelve los esquemas de websocket en todos los navegadores, más información: https://github.com/w3c/webappsec-csp/issues/7

Versión CSP 1
Tipo de directiva Obtener directiva
default-src retroceder Si. Si esta directiva está ausente, el agente de usuario buscará el default-src directiva.

Sintaxis

Se pueden permitir una o más fuentes para la política connect-src:

Content-Security-Policy: connect-src ;
Content-Security-Policy: connect-src  ;

Fuentes

puede ser uno de los siguientes:

Hosts de Internet por nombre o dirección IP, así como una opción Esquema de URL y / o número de puerto. La dirección del sitio puede incluir un comodín inicial opcional (el carácter de asterisco, '*'), y puede usar un comodín (nuevamente, '*') como número de puerto, lo que indica que todos los puertos legales son válidos para la fuente.
Ejemplos:

  • http://*.example.com: Coincide con todos los intentos de carga desde cualquier subdominio de example.com utilizando el http: Esquema de URL.
  • mail.example.com:443: Coincide con todos los intentos de acceder al puerto 443 en mail.example.com.
  • https://store.example.com: Coincide con todos los intentos de acceder a store.example.com utilizando https:.
  • *.example.com: Coincide con todos los intentos de carga desde cualquier subdominio de example.com utilizando el protocolo actual.
Un esquema como http: o https:. Se requiere el colon. A diferencia de otros valores a continuación, no se deben usar comillas simples. También puede especificar esquemas de datos (no recomendado).

  • data: Permite data: URI para ser utilizado como fuente de contenido. Esto es inseguro; un atacante también puede inyectar datos arbitrarios: URI. Use esto con moderación y definitivamente no para scripts.
  • mediastream: Permite mediastream: URI para ser utilizado como fuente de contenido.
  • blob: Permite blob: URI para ser utilizado como fuente de contenido.
  • filesystem: Permite filesystem: URI para ser utilizado como fuente de contenido.
'self'
Hace referencia al origen desde el que se envía el documento protegido, incluido el mismo esquema de URL y número de puerto. Debe incluir las comillas simples. Algunos navegadores excluyen específicamente blob y filesystem de las directivas de origen. Los sitios que necesiten permitir estos tipos de contenido pueden especificarlos mediante el atributo Datos.
'unsafe-eval'
Permite el uso de eval() y métodos similares para crear código a partir de cadenas. Debe incluir las comillas simples.
'unsafe-hashes'
Permite habilitar en línea específicos controladores de eventos. Si solo necesita permitir controladores de eventos en línea y no en línea