本话题发布浏览器安全机制相关的博客文章和技术分享,将持续更新,为您推荐了4篇博客,访问即可查看更多精彩内容。
-
直接说结论:我偏爱CSP头配置 最近在处理HTTPS站点的安全问题时,block-all-mixed-content这个话题让我折腾了好几天。简单说下我的结论:虽然meta标签和HTTP头部都能实现阻...
-
connect-src这玩意儿,真的挺重要 说实话,我最早接触Content Security Policy(CSP)的时候,完全没把connect-src当回事。直到后来项目上线,用户反馈说API请...
-
为什么我要专门写这篇文章? 说实话,HttpOnly这个东西我用了好几年,但一直没真正搞明白各种设置方式的差别。最近在一个项目里遇到了cookie安全的问题,才意识到自己之前只是照葫芦画瓢,根本没理解...
-
为什么我要折腾 block-all-mixed-content 这个东西? 事情是这样的,上个月我们上线了一个新项目,HTTPS 全站强制开启,结果 QA 一测,发现部分老页面里的图片、脚本居然还是 ...
