我有2个网址:
https://example.com
https://images.example.com
是否有任何 CSP 标头可以添加到我的 CDN 域中,以防止攻击者通过示例域中的图像标签或 javascript 包含我的图像 (
https://images.example.com
) https://attacker.com
CSP 在文档(通常具有内容类型 text/html)上设置,以声明该页面允许哪些来源。如果您为主域设置此项,则可以定义该域上的页面可以加载哪些资源,不能加载哪些资源。
在 CDN 上,您可以限制 X-Frame-Options 或 CSP 框架祖先构建的内容,并且可以限制 CORS 标头作为数据加载的内容。防止谁加载您的图像需要某种类型的访问控制,但无法通过响应标头来实现,因为浏览器中没有这种机制。