防止 javascript GET 和脚本

Question

有没有办法将 Javascript Get、Post 请求限制到指定域？ 我还可以以某种方式禁用 JSONP 吗？

我想开发一个 Web 内容框架，人们可以在不同的页面中包含 javascript，但我不希望这些脚本访问任何其他域。

我熟悉 Firefox 的“内容安全策略”，但不幸的是这仅适用于 Firefox。

Answer 1

默认情况下它是“禁用”的。如果你想“允许”json，你必须添加 jsonp 回调。没有它，js 就无法检索 json 响应。

Answer 2

您能否让用户从批准的脚本列表中进行选择，并在脚本未包含在正确的域中时拒绝编辑，而不是让用户选择任意 javascript？
或者您可以使用某种自定义标记，而不是允许编写 -tags，而是编写 [include="pluginname"]，然后您自己将其转换为脚本标记，如果找到具有给定名称的插件？

内容安全策略在 Chrome 中的支持也有限，但目前它并不是您真正想要的，因为它在市场上的支持和渗透率有限。