问题是有关CSP服务两次:
如果有一个策略通过Content-Security-PolicyHTTP响应标头提供服务,又有一个通过<meta />元素指定的其他策略,会发生什么情况?
Content-Security-Policy
<meta />
那两个会合并吗?还是哪个优先?(我在规范中找不到明确的信息)。
特定的用例可能是Report-to通过HTTP响应标头提供服务,并将所有其他限制放入<meta />元素中-因为其中一些限制是由webpack生成的-如果我不必担心<meta />HTTP响应标头策略会使其变浅。
Report-to
browser security web content-security-policy
browser ×1
content-security-policy ×1
security ×1
web ×1