クロスドメイン
クロスドメイン許可の見方
画像とかはクロスドメインでも普通に通すよね
CSPとCORSの違いがわからねぇ
CORSはサーバー側がシェアリングするかレスポンスヘッダに記述する
Access-Control-Allow-Origin
でももっとマシなアクセス制御ありそうだけどね
使ってるサイトなくね?
MDNのこの説明がよくわかる
CSPはクライアント側でアクセスできるドメインをサーバーから配信する
ヘッダやmeta
Content-Security-Policy
Scrapboxの
code:Header
Content-Security-Policy: connect-src 'self' i.gyazo.com t.gyazo.com wss://scrapbox.io api.openai.com *.openai.azure.com maps.googleapis.com https://upload.gyazo.com https://storage.googleapis.com https://sentry.io; default-src 'self'; font-src 'self' cdnjs.cloudflare.com fonts.gstatic.com; frame-src 'self' www.google.com www.youtube.com player.vimeo.com anchor.fm podcasters.spotify.com embed-standalone.spotify.com gyazo.com *.gyazo.com dashboard.helpfeel.com js.stripe.com; img-src * data: blob:; media-src *; script-src 'self' cdnjs.cloudflare.com maps.googleapis.com 'unsafe-eval' helpfeel-tweaks.helpfeel.com js.stripe.com www.google.com www.gstatic.com; style-src 'self' fonts.googleapis.com cdnjs.cloudflare.com 'unsafe-inline'; worker-src 'self'; form-action 'self'; upgrade-insecure-requests 一番効果的な直リンク防止?
でもデータ自体は送れちゃうからな
クライアント側でなんとでもできる