gui*_*dev 2 javascript meta-tags content-security-policy
我正在尝试使用某些页面的特定元标记覆盖内容安全策略.
我已经尝试了几个小时,但我还没有成功.
有没有办法在不必修改服务器配置的情况下从页面本身(使用JavaScript或元标记)覆盖CSP?
谢谢.
没有.
出于安全原因,元标记只能使策略更严格,而不是放宽标头中定义的策略.
如果元标记可以放松政策,CSP就没有牙齿了.任何恶意方都可以添加元标记来禁用策略并避免应该具备的所有限制.
您可以拧紧CSP,但不能松开它。您可能会重新配置您的站点以收紧/放松生成页面的代码中的 CSP。例如,在 PHP 中,您可以创建一个标题,但稍后会覆盖该标题——只要您在任何内容实际输出到浏览器之前这样做。
这就是我在我管理的站点上所做的——每个页面都有一个相当严格的默认 CSP 标头,但在特定页面上,我可能会放宽它以允许特定于该页面的某些内容。但是您必须在生成页面本身时这样做;在发送初始 CSP 标头后,您不能使用 Meta 标记或 JavaScript。