那些遇到过的问题

Content-Security-Policy标头应该在每个服务器响应中还是仅在text/html中?

Mar*_*tin 4 content-security-policy

如果Content-Security-Policy标头中的每个服务器响应(图片,CSS,JS,...),或仅在text/html的格式(.html或PHP脚本的HTML输出)?

Bar*_*ard 6

由于CSP是客户端保护并且仅由浏览器处理HTML文档(无论是静态还是由PHP等动态创建),因此不需要在除text/html文档之外的任何内容上使用此标头.

实际上,由于CSP策略可能非常大,因此只需在HTML文档响应中提供它就可以节省带宽.

目前唯一的例外是网络工作者.但是,如果您不使用它们,那么您现在可以忽略它们.

请注意当前的CSP草案规范在目标部分中说CSP用于控制:

可以代表特定文档或工作人员请求(并随后嵌入或执行)的资源

归档时间:

查看次数:

98 次

最近记录:

9 年,4 月 前
相关归档
如何在浏览器JS控制台中包含脚本时覆盖内容安全策略? 47
允许通过HTTPS加载HTTP资源 8
内容安全策略允许没有不安全内联的内联样式 7
YouTube.com 的有效内容安全策略定义 6
内联JavaScript与CSP 1级结合使用 5
内容安全策略:页面设置阻止加载内联资源(“default-src”) 5
内容安全策略时,mailto href 框架内不起作用 4
我应该在单页面应用程序中设置ajax响应中的内容安全策略标头吗? 3
我正在尝试理解内容安全策略框架祖先标签 3
Spring Boot:如何在运行时更改内容安全策略? 2
难疑归档
"INNER JOIN"和"OUTER JOIN"有什么区别? 4506
使用Git将我的最后一次X提交压缩在一起 3294
浮点数学是否破碎? 2798
你如何断言在JUnit 4测试中抛出某个异常? 1915
NPM vs. Bower vs. Browserify vs. Gulp vs. Grunt vs. Webpack 1811
PostgreSQL"DESCRIBE TABLE" 1790
我在哪里可以找到有关在JavaScript中格式化日期的文档? 1381
如何用"喜欢"查询MongoDB? 1331
我如何开始使用Node.js 1264
如何在Node.js上的Express.js中获取GET(查询字符串)变量? 1115