gpt4 book ai didi

content-security-policy - Content-Security-Policy header 应该在每个服务器响应中还是只在 text/html 中?

转载 作者:行者123 更新时间:2023-12-05 00:18:18 26 4
gpt4 key购买 nike

Content-Security-Policy header 是在每个服务器响应(图像、CSS、JS 等)中还是仅在 text/html(PHP 脚本的 .html 或 HTML 输出)中?

最佳答案

由于 CSP 是客户端保护,并且仅由浏览器处理 HTML 文档(无论是静态的还是由 PHP 或类似的动态创建的),因此除了文本/html 文档外,不需要在任何其他内容上使用此 header 。

事实上,由于 CSP 策略可能非常大,因此仅在 HTML 文档响应中提供它可以节省带宽。

目前唯一的异常(exception)是 web workers .但是,如果您不使用它们,那么您现在可以忽略它们。

注意当前 CSP draft spec在目标部分说 CSP 用于控制:

The resources which can be requested (and subsequently embedded or executed) on behalf of a specific Document or Worker

关于content-security-policy - Content-Security-Policy header 应该在每个服务器响应中还是只在 text/html 中?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38147753/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com