CSP: img-src Директива HTTP Content-Security-Policy img-src определяет допустимые источники изображений и фавиконов.


Чтобы добавить этот настраиваемый метатег, перейдите на страницу www.yourStore.com/Admin/Setting/GeneralCommon, найдите пользовательский тег <head> и добавьте его, как показано на изображении ниже. Политика безопасности содержимого защищает от межсайтового скриптинга (XSS) и других форм атак, таких как ClickJacking.

Директива HTTP Content-Security-Policy (CSP)default-src служит в качестве запасного варианта для других директив CSP fetch.Для каждой из следующих директив,которые отсутствуют,агент пользователя ищет директиву default-src и использует это значение для нее:child-src.connect-src.

Политика безопасности контента (CSP)-это дополнительный уровень безопасности,который помогает обнаружить и смягчить определенные типы атак,включая межсайтовый скриптинг (XSS)и атаки с внедрением данных.


Директива img-src HTTP

Content-Security-Policy указывает допустимые источники изображений и значков.

CSP version1
Directive typeFetch directive
default-src fallbackДа. Если эта директива отсутствует, пользовательский агент будет искать директиву default-src .

Syntax

Один или несколько источников могут быть разрешены для политики img-src :

Content-Security-Policy: img-src <source>;
Content-Security-Policy: img-src <source> <source>;
Sources

<source> может быть любым из значений, перечисленных в исходных значениях CSP .

Обратите внимание, что этот же набор значений можно использовать во всех директивах fetch (и ряде других директив ).

Examples

Violation cases

Учитывая этот заголовок CSP:

Content-Security-Policy: img-src https://example. com/

Следующий <img> заблокирован и не загружается:

<img src="https://not-example.com/foo.jpg" alt="example picture" />

Specifications

Specification
Политика безопасности контента, уровень 3
# директива-img-src

Browser compatibility

DesktopMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariWebView AndroidChrome AndroidFirefox для AndroidOpera AndroidSafari на IOSSamsung Internet
img-src

25

14

23

No

15

7

Yes

Yes

23

No

7

Yes

See also

  • Content-Security-Policy
  • <img>

HTTP

  • CSP: frame-ancestors

    Директива HTTP Content-Security-Policy (CSP) frame-ancestors указывает действительных родителей, которые могут внедрять страницу с помощью <iframe>, <object>, <applet>.

  • CSP: frame-src

    Директива HTTP Content-Security-Policy (CSP) frame-src указывает допустимые источники для загрузки вложенных контекстов просмотра с использованием таких элементов, как и <iframe>.

  • CSP: manifest-src

    Директива HTTP Content-Security-Policy:manifest-src определяет,что может быть применено к ресурсу.

  • CSP: media-src

    Директива HTTP Content-Security-Policy (CSP) media-src указывает допустимые источники для загрузки с использованием элементов <audio> и <video>.

  • 1
  • 86
  • 87
  • 88
  • 89
  • 90
  • 405
  • Next

javascript — Как поместить свой URL в тег img (html)?

спросил

Изменено 3 года, 5 месяцев назад

Просмотрено 11 тысяч раз

У меня есть веб-сайт, и я хочу, чтобы он помещался в HTML-теги img, чтобы тег img работал.

Например, открывающая скобка img src = «https://api.thecatapi.com/v1/images/search?format=src» закрывающая скобка — это строка, которая даст вам изображение кота.

Я попытался сделать что-то подобное, создав веб-сайт, который перенаправляет другой веб-сайт, на котором размещено одно изображение из списка, с помощью функции window.location.replace, однако подключение моего веб-сайта к src не помогает.

Какие функции/код можно использовать, чтобы мой URL-адрес можно было использовать в тегах img?

  • javascript
  • html
  • изображение
  • URL

если вы хотите вставить ссылку на изображение (изображение, кликабельное):

, если вы хотите отобразить изображение по ссылке

 W3Schools.com

Объяснение здесь: https://www.w3schools.com/html/html_images. asp

, если вы хотите открыть изображение в новой вкладке

 
   //изображение для отображения в новом окне

2

Не совсем понял вопрос, но window.location.replace не поможет вам отобразить или перенаправить, поскольку это объект окна в браузере, а местоположение представляет состояние URL. Итак, если вы хотите отобразить изображение, полученное путем перенаправления, просто используйте атрибут href при размещении тега img в теге привязки(). Надеюсь, это поможет.

  • Вы имеете в виду, что:
 
<голова>
    <мета-кодировка="UTF-8">
 

    
    
    Документ

<тело>
    <дел>

Зарегистрируйтесь или войдите в систему

Зарегистрируйтесь с помощью Google

Зарегистрироваться через Facebook

Зарегистрируйтесь, используя электронную почту и пароль

Опубликовать как гость

Электронная почта

Требуется, но не отображается

Опубликовать как гость

Электронная почта

Требуется, но не отображается

html — как выполняется атрибут src тега img?

спросил

Изменено 10 лет, 1 месяц назад

Просмотрено 12 тысяч раз

Рассмотрим следующий код:

  com/Page/1"/>

«1» — это параметр для вставки в какую-либо таблицу на странице «Страница» на сайте website.com. Будет ли посетитель этой страницы (которая содержит приведенный выше код) вызвать выполнение страницы и вставить 1 в таблицу? Если страница содержит некоторый код Javascript. Будет ли он выполнен, если мы посетим страницу, содержащую приведенный выше код?

  • HTML
  • изображение
  • источник

0

Браузер, если он настроен на загрузку и отображение изображений, сначала проверит, есть ли в его собственном кэше соответствующий URL-адрес документа как свежий (по некоторым критериям кэширования). Если нет, он отправит через HTTP запрос GET на mysite.com для ресурса /Page/1. Что произойдет дальше, зависит от сервера. Он может просто взять файл изображения из своих ресурсов и отправить его в браузер, или он может сгенерировать изображение и отправить его, или он может (вместо или в дополнение к таким вещам) сохранить или обновить что-то в своей базе данных, или просто счетчик в файле или что-то еще, для чего он был запрограммирован.

Если ресурс, отправленный сервером, является данными изображения, браузер попытается отобразить его. Если это случится, например. HTML-документ, он будет отброшен, и вместо него браузер отобразит значение атрибута alt, или значок неработающего изображения, или и то, и другое.

Когда браузер находит этот тег img в видимой области (поэтому он не должен быть скрыт с дисплеем : например, нет ), он выполняет изображение как http-запрос. Так работает и отслеживание статистики.

Таким образом, поскольку это обычный http-запрос, он выполнит код на стороне сервера для этого URL-адреса, который в свою очередь должен доставить изображение (будь то просто пустой gif 1×1), поэтому браузер не сообщает об ошибке.

Но имейте в виду, что браузер может кэшировать изображение, если вы посетите эту страницу во второй раз. Поэтому либо добавьте случайную строку или метку времени в конце (например, http://website.com/Page/1?23423412341), либо сообщите браузеру с помощью htaccess, чтобы он не кэшировал ее.

No related posts.