Content-Security-Policy header 应该在每个服务器响应中还是只在 text/html 中?
Should Content-Security-Policy header be in every server response or only in text/html?
Content-Security-Policy header 应该在每个服务器响应中(图像,CSS,JS,...)还是只在 text/html(.html 或 HTML PHP 脚本的输出)?
由于 CSP 是一种客户端保护,并且仅由浏览器处理 HTML 文档(无论是静态的还是由 PHP 等动态创建的),因此不需要 header 除了 text/html 文档。
事实上,由于 CSP 策略可能非常大,因此仅在 HTML 文档响应中提供它可以节省带宽。
目前唯一的例外是web workers。但是,如果您不使用它们,那么您现在可以忽略它们。
请注意当前 CSP draft spec 在目标部分表示 CSP 用于控制:
The resources which can be requested (and subsequently embedded or
executed) on behalf of a specific Document or Worker
Content-Security-Policy header 应该在每个服务器响应中(图像,CSS,JS,...)还是只在 text/html(.html 或 HTML PHP 脚本的输出)?
由于 CSP 是一种客户端保护,并且仅由浏览器处理 HTML 文档(无论是静态的还是由 PHP 等动态创建的),因此不需要 header 除了 text/html 文档。
事实上,由于 CSP 策略可能非常大,因此仅在 HTML 文档响应中提供它可以节省带宽。
目前唯一的例外是web workers。但是,如果您不使用它们,那么您现在可以忽略它们。
请注意当前 CSP draft spec 在目标部分表示 CSP 用于控制:
The resources which can be requested (and subsequently embedded or executed) on behalf of a specific Document or Worker