面向对象:开发者
CSP 能够阻止你的页面中一些内容被加载或执行
介绍可以看这: http://mdn.io/csp
规范看这: http://www.w3.org/TR/CSP/
一个例子(HTTP Response Header):
Content-Security-Policy: default-src *; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.v2ex.com www.google-analytics.com; frame-src 'self' gist.github.com www.youtube.com player.youku.com; font-src 'self' *.v2ex.com fonts.gstatic.com; connect-src 'self' *.v2ex.com
default-src 是 fallback,中间的很好理解,connect-src 是 XMLHttpRequest.open 和 websocket 之类;
规范不长,可以花点时间看看。
还能防一些 XSS 生效;
如果禁掉 'unsafe-inline' 的话,大概还能防 ABP 之类。
如果你自己写代理上网的话,大概还能用它来阻止广告、ga 之类
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.