led*_*gic 4 header http content-security-policy
对于大型内容安全策略 http 标头有什么建议吗?由于标头数据包大小的限制,某些应用程序无法处理大型内容安全标头的读取。然而,要列出站点所需的域,具体来说,每个域都需要字节。您是否注意到了规范的这一限制?您是如何解决它的?
实际上,HTTP 标头的大小有两种类型的限制 - 服务器端和客户端:
Apache Web 服务器的所有 HTTP 响应标头的最大大小,默认情况下为 8190 字节。
如果所有 HTTP 标头(CSP + "HTTP/1.1 200 OK" + Content-type:"text/html; charset=utf-8" + 所有其他标头)的总大小超过允许的限制,Web 服务器将返回错误 502。
限制某些移动设备上接收缓冲区的大小。它可以通过违规报告检测到,original-policy其中的字段被截断。最后一次观察是在大约 6 年前。
要解决该问题:
*将一组子域 (*.google.com) 列入白名单。img-src *允许来自任何图像,因为不太可能通过图像进行 XSS。'strict-dynamic'在指令中使用令牌script-src并从中删除所有基于主机的源,除了http: https:. 有关详细信息,请参阅Google 的严格 CSP 。| 归档时间: |
|
| 查看次数: |
4564 次 |
| 最近记录: |