Chrome 中的预加载和 CSP
Preload and CSP in Chrome
我有一个网站在网页上有一些 <link rel="preload" href="... 标签,我还想在其中添加尽可能严格的 CSP headers 作为其中的一部分,我想使用 default-src 'none'
目前Chrome支持预取,但它只支持prefetch-src后面的一个特性标志的CSP指令。
所以我可以使用该功能但不能围绕它配置安全性,因此当前 default-src 'none' 所有预取调用都被阻止。
我能找到的唯一解决方案是将 default-src 'none' 更改为 default-src 'self',但这当然会降低安全性,因为可能无法加载许多不需要的资源。
有人找到解决办法了吗?
这似乎是 Chromium 的一个错误:https://bugs.chromium.org/p/chromium/issues/detail?id=801561
我也运行喜欢这个,这很烦人。似乎唯一的解决办法是设置 default-src 'none' 并等待他们解决问题。不理想...
我有一个网站在网页上有一些 <link rel="preload" href="... 标签,我还想在其中添加尽可能严格的 CSP headers 作为其中的一部分,我想使用 default-src 'none'
目前Chrome支持预取,但它只支持prefetch-src后面的一个特性标志的CSP指令。
所以我可以使用该功能但不能围绕它配置安全性,因此当前 default-src 'none' 所有预取调用都被阻止。
我能找到的唯一解决方案是将 default-src 'none' 更改为 default-src 'self',但这当然会降低安全性,因为可能无法加载许多不需要的资源。
有人找到解决办法了吗?
这似乎是 Chromium 的一个错误:https://bugs.chromium.org/p/chromium/issues/detail?id=801561
我也运行喜欢这个,这很烦人。似乎唯一的解决办法是设置 default-src 'none' 并等待他们解决问题。不理想...