С моей точки зрения, технологии, обозначенные как Совместное использование ресурсов (CORS) и Политики безопасности контента (CSP), по-видимому, очень схожи по назначению и реализации.
Оба, похоже, позволяют вам белить список источников ресурсов, которые безкомпромиссная версия вашей веб-страницы включает в себя через HTTP-заголовки ответов. Единственное различие, которое я вижу, - это то, что CSP кажутся более точными в том, что вы можете одобрить в своем ответе HTTP.
CORS позволяет "Одинаковая начальная политика" > смягчаться для домена.
например. обычно, если пользователь регистрируется как в example.com, так и в example.org, политика одинакового происхождения предотвращает example.com выполнение запроса AJAX на example.org/current_user/full_user_details и получение доступа к ответу.
Это политика сети по умолчанию и предотвращает утечку данных пользователя при одновременном входе в несколько сайтов.
Теперь с помощью CORS example.org может установить политику, чтобы сказать, что она позволит источнику https://example.com читать ответы, сделанные AJAX. Это было бы сделано, если обе команды example.com и example.org управляются одной и той же компанией, и обмен данными между источниками разрешен в пользовательском браузере. Это влияет только на клиентскую сторону, а не на сервер.
CSP, с другой стороны, устанавливают политику того, какой контент может работать на текущем сайте. Например, если JavaScript может быть запущен inline или из каких доменов .js можно загрузить файлы. Это может быть выгодно действовать в качестве другой линии защиты от атак XSS, где злоумышленник попытается ввести script в HTML-страницу, Обычно вывод будет зашифрован, однако говорят, что разработчик забыл только в одном поле вывода. Поскольку политика предотвращает выполнение строки script, атака прерывается.
CORS позволяет сайту A разрешать сайту B читать (потенциально частные) данные с сайта A (используя браузер посетителя и учетные данные).
CSP позволяет сайту предотвращать от загрузки (потенциально вредоносного) контента из неожиданных источников (например, в качестве защиты от XSS).
CORS проверяет с третьим лицом разрешение на использование своих услуг. Таким образом, третья сторона предоставляет или отказывает в авторизации.
Так, например, если на странице www.example.com необходимо сделать запрос на www.example.org, нам необходимо отправить запрос OPTIONS, отправленный на сайт www.example.org, с Origin: www.example.com в качестве предшественник для запроса разрешения. Теперь www.example.org предоставляет или отклоняет авторизацию.
CSP предотвращает непреднамеренную загрузку веб-страницы вредоносным контентом со стороны третьей стороны, указав, от чего может загружаться определенный тип контента. Так, например, вы можете предоставить действительный источник для каждого из следующих скриптов, css, media и т.д., Используя директивы
Пример:
Content-Security-Policy: default-src 'none'; script -src 'self' www.google-analytics.com ajax.googleapis.com; connect-src 'self'; img-src 'self'; style-src 'self';