Tom*_*ght 5 security http-headers http-permissions-policy
为了使我们的应用程序尽可能安全,遵循最佳实践建议并解决 OWASP 标记的问题...我们Permission-Policy向我们的应用程序添加了一个标头。
由于(目前)无法简单地指定应允许的功能,因此我们使用PermissionsPolicy.com生成要限制的功能的完整列表。
不幸的是,当浏览器(特别是 Chrome,但也可能是其他浏览器)遇到此标头中它们无法识别的功能时,它们会生成控制台警告:
权限策略标头错误:无法识别的功能:“电池”。
(无关紧要的题外话……我想我的(桌面)浏览器不知道如何处理这个问题是有道理的。我猜这是移动设备上存在的一个功能?)
控制台警告并不是世界末日,但它们确实增加了噪音,并且违反了Lighthouse 的“最佳实践”审核。
我们可以从策略标头中删除违规条目,但这似乎与我们的安全目标背道而驰 - 如果有人使用支持我们删除的功能的浏览器,并且该应用程序因此被利用怎么办?
那么问题来了:是否有一个既定的机制来制定全面的权限策略,而无需大量控制台警告?例如,我们是否应该嗅探用户代理并提供仅包含受支持功能的策略?或者是否有某种方法可以抑制警告,即使是对于无法识别的功能?
| 归档时间: |
|
| 查看次数: |
480 次 |
| 最近记录: |