web开发中的安全和防御入门——csp (content-security-policy内容安全策略)
偶然碰到iframe跨域加载被拒绝的问题,原因是父页面默认不允许加载跨域的子页面,也就是的content-security-policy中没有设置允许跨域加载。简单地说,content-security-policy能限制页面允许和不允许加载的所有资源,常见的包括:iframe加载的子页面urljs文件图片、视频、音频、字体等资源设置content-security-policy有两个途径:通过请