HTML 元标记中的内容安全策略 ~ 这安全吗?

Content-Security-Policy in HTML Meta Tags ~ Is This Safe?

将内容安全策略 (CSP) 规则放入 HTML 文档的元标记中真的安全吗?如果我遗漏了什么,请原谅我,但是如果黑客想要绕过这些规则,那么使用 Chrome 的 DEV 工具或类似于 select 的工具并删除整个元数据不是很简单吗?标记?

尽管找不到其他有同样顾虑的人,但我仍然感觉不对,就像将私有 API 密钥放入客户端脚本一样。任何客户端都可以被操纵,对吧?

规范中多次提到使用 meta 标签比 header 标签更糟糕。仅在需要时使用它。但是 it's as safe as it can be:

Note: A policy specified via a <meta> element will be enforced along with any other policies active for the protected resource, regardless of where they’re specified. The general impact of enforcing multiple policies is described in §8.1 The effect of multiple policies.

Note: Modifications to the content attribute of a <meta> element after the element has been parsed will be ignored.

无法在浏览器解析后降低政策的严格程度。