use*_*110 7 security content-security-policy
我正在努力向我公司的网站添加 Content-Security-Policy-Report-Only 标头。当我研究它时,我发现一些页面已经设置了 Content-Security-Policy 标头。我进一步调查发现不需要这些指令。此外,这些页面使用的默认指令是“self”,而我计划为仅报告设置的是“https:”
我不是该领域的专家,并且希望确保两个标头值不会相互干扰。因此寻求指导
如果我为已有 CSP 标头的页面设置仅报告,是否会干扰现有标头?行为是否依赖于浏览器?
任何帮助/指示都将有助于做出决定。
谢谢!
Content-Security-Policy 和 Content-Security-Policy-Report-Only 彼此没有影响,完全独立。两者同时设定是收紧政策时的常见做法。我毫不怀疑这种行为在某些时候存在错误,但规范是明确的。
| 归档时间: |
|
| 查看次数: |
1349 次 |
| 最近记录: |