问题
fetch 申请一个 http 协定的接口,理论申请进来的接口是 https 协定的?
解决
有两种思路:
- fetch 申请有没有被重写;
- 其余配置影响,让原生 api 出现异常;
经查看,fetch 申请没有被重写,所以就着重看下思路二。通过一直的查找,发现一个 meta 标签:
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
原来是因为这个才把 http 主动转化为 https。
内容安全策略 CSP
CSP 通过定义 Content-Security-Policy
HTTP 标头,容许创立信赖内容的起源白名单,并批示浏览器仅执行或渲染来自这些起源的资源,而不要自觉地信赖服务器提供的所有内容。即便攻击者发现破绽并可能注入脚本,因为此脚本不合乎此白名单,也不会执行该脚本。
作用
可显著升高古代浏览器中 XSS 攻打的危险和影响的防护性能。
CSP 指令
只管脚本资源是最不言而喻的平安危险,但 CSP 提供了一个丰盛的策略指令集,让开发者能够对容许页面加载的资源进行相当精密的管制。其余指令有:
-
script-src
用于管制脚本对于某个特定页面所享有的一组权限。
-
base-uri
用于限度可在页面的
<base>
元素中显示的网址。 -
child-src
用于列出实用于工作线程和嵌入的帧内容的网址。例如:
child-src https://youtube.com
将启用来自 YouTube(而非其余起源)的嵌入视频。应用此指令代替已弃用的frame-src
指令。 -
connect-src
用于限度可(通过 XHR、WebSockets 和 EventSource)连贯的起源。
-
font-src
用于指定可提供网页字体的起源。Google 的网页字体可通过
font-src https://themes.googleusercontent.com
启用。 -
form-action
用于列出可从
<form>
标记提交的无效端点。 -
frame-ancestors
用于指定可嵌入以后页面的起源。此指令实用于
<frame>
、<iframe>
、<embed>
和<applet>
标记。此指令不能在<meta>
标记中应用,并仅实用于非 HTML 资源。 -
frame-src
已弃用。请改用
child-src
。 -
img-src
用于定义可从中加载图像的起源。
-
media-src
用于限度容许传输视频和音频的起源。
-
object-src
可对 Flash 和其余插件进行管制。
-
plugin-types
用于限度页面能够调用的插件品种。
-
report-uri
用于指定在违反内容平安政策时浏览器向其发送报告的网址。此指令不能用于
<meta>
标记。 -
style-src
是
script-src
版的样式表。 -
upgrade-insecure-requests
批示 User Agent 将 HTTP 更改为 HTTPS,重写网址架构。该指令实用于具备大量旧网址(须要重写)的网站。
// header
Content-Security-Policy: upgrade-insecure-requests;
// meta tag
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
申请进来的任何 URL 将在申请产生之前被重写,这意味着没有不平安的申请会涉及网络。如果申请的资源通过 HTTPS 实际上不可用,则该申请将失败,而不会返回到 HTTP。
指令应用
默认值
如果没有给一个指令设置具体的值,则默认值是 *
。font-src '*'
示意能够从任意地位加载字体,没有任何限度。
替换默认值
通过指定一个 default-src
指令替换默认行为。此指令用于定义未指定的大多数指令的默认值。个别状况下,实用于以 -src
结尾的任意指令。
如果将 default-src
设为 https://example.com
,并且您未能指定一个 font-src
指令,那么,您能够从 https://example.com
加载字体,而不能从任何其余中央加载。
以下指令不应用 default-src
作为回退指令。如果不对其进行设置,则等同于容许加载任何内容。
base-uri
form-action
frame-ancestors
plugin-types
report-uri
sandbox
多个指令
能够设置任意数量的指令,只需在 HTTP 标头中列出每条指令,并应用分号将它们隔开。
// header
Content-Security-Policy: default-src https://cdn.example.net; child-src 'none'; object-src 'none'
// meta tag
<meta http-equiv="Content-Security-Policy" content="default-src https://cdn.example.net; child-src none; object-src none">
一个指令多个值
如果想在一条指令中列出所需的特定类型的全副资源,以空格宰割多个值。
// header 正确应用
Content-Security-Policy: script-src https://host1.com https://host2.com
// header 谬误应用
// https://host2.com 会被疏忽
Content-Security-Policy: script-src https://host1.com; https://host2.com
参考:内容平安政策