Jur*_*osh 7 browser security web content-security-policy
问题是有关CSP服务两次:
如果有一个策略通过Content-Security-PolicyHTTP响应标头提供服务,又有一个通过<meta />元素指定的其他策略,会发生什么情况?
那两个会合并吗?还是哪个优先?(我在规范中找不到明确的信息)。
特定的用例可能是Report-to通过HTTP响应标头提供服务,并将所有其他限制放入<meta />元素中-因为其中一些限制是由webpack生成的-如果我不必担心<meta />HTTP响应标头策略会使其变浅。
如果在Content-Security-PolicyHTTP标头和meta元素中都指定了CSP指令,则无论指定了什么位置,浏览器都将使用限制最大的CSP指令。
请参阅https://w3c.github.io/webappsec-csp/#multiple-policies上有关多个策略的详细信息,以及https://w3c.github.io/webappsec-csp/#meta中有关meta元素使用的详细信息。-元素:
注意:通过
meta元素指定的策略将与对受保护资源有效的任何其他策略一起执行,无论它们在何处指定。§8.1多重策略的影响中描述了实施多个策略的一般影响。8.1。多种政策的效果
影响是将其他策略添加到要强制执行的策略列表中只会进一步限制受保护资源的功能。
| 归档时间: |
|
| 查看次数: |
1124 次 |
| 最近记录: |