免於第三方攻擊的保護
重要提示:本文件不適用於您目前選擇的格式故事!
採取措施保護您的網站和使用者免受網路安全漏洞的侵害。其中最惡名昭彰的是 跨網站指令碼 (XSS)。XSS 是一種安全漏洞,可能允許攻擊者將惡意程式碼注入到顯示給使用者的 HTML 頁面中。
採用內容安全策略 (CSP) 來防範這些類型的攻擊。像是 Google AMP 快取這類的 AMP 快取已將 CSP 新增到您的頁面!但是,當使用者繞過快取版本時,如果未新增您自己的 CSP,頁面將缺少這層額外的保護。
實作 AMP 的 CSP
透過在頁面的 head 中加入適當的 meta 標籤來實作 CSP。以下是 AMP 的 CSP,僅允許將 AMP 指令碼注入到您的頁面中
<meta
http-equiv="Content-Security-Policy"
content="default-src * data: blob:; script-src blob: https://cdn.ampproject.org/v0.js https://cdn.ampproject.org/v0/ https://cdn.ampproject.org/viewer/ https://cdn.ampproject.org/rtv/; object-src 'none'; style-src 'unsafe-inline' https://cdn.ampproject.org/rtv/ https://cdn.materialdesignicons.com https://cloud.typography.com https://fast.fonts.net https://fonts.googleapis.com https://maxcdn.bootstrapcdn.com https://p.typekit.net https://use.fontawesome.com https://use.typekit.net; report-uri https://csp-collector.appspot.com/csp/amp"
/>
在此處深入了解有關保護安全漏洞和 CSP 的資訊。
-