我有一个网站,网页上有一些<link rel="preload" href="...标签,我还想在其中添加尽可能严格的 CSP 标头,并且作为我想使用的一部分default-src 'none'
prefetch-src目前 Chrome 支持预取,但仅支持功能标志后面的 CSP 指令。因此,我可以使用该功能,但不能配置它周围的安全性,因此当前default-src 'none'所有预取调用都被阻止。
我能找到的唯一解决方案是更改default-src 'none'为default-src 'self',但这当然会降低安全性,因为许多不需要的资源可能无法加载。
有没有人找到解决这个问题的方法?