为Feature-Policy HTTP标头设置默认值
[英]Set a default for Feature-Policy HTTP header
问题描述
对于HTTP Feature-Policy标头,您可以分别设置https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy中提到的功能。 但是如何设置默认值?
您可以通过设置default-src为Content-Security-Policy做到这一点, Feature-Policy是否等效?
这将比分别设置众多功能中的每一个功能更为方便,特别是因为添加新功能时,您必须使该列表保持最新。
1 个解决方案
解决方案1
0 2019-02-19 13:47:48
这里对此问题进行了积极的讨论:
https://github.com/w3c/webappsec-feature-policy/issues/189
总结一下github线程,拥有default策略的主要问题是您可能正在使用某个功能,该功能以后将要服从策略。 然后,您的网站将崩溃,结果,浏览器供应商将要么不提供新功能,要么不愿意将其置于政策之下,而作为一项概念的功能政策将陷入困境。
有许多可能的解决方案:
- 通过使网络难以置信地广泛传播,使
default引用所有现有策略,而且还引用可能受策略限制的所有内容 。 这实际上将禁用所有DOM,浏览器和网络API。 但是您似乎可能想使用其中的一些东西,从而使该指令变得毫无用处。 - 不要实现
default而是添加一些不变的“捆绑”策略。 当您采用捆绑软件时,您会知道它包含的内容,并且不会改变,但是随着新策略的推出,我们可以创建更大,更严格的捆绑软件,而不会破坏采用先前捆绑软件的站点。 这是我的建议
在flutter http请求中为所有请求设置默认标头的最佳方法
[英]Best way to set default header for all request in flutter http request
什么是Squid的默认缓存策略,没有Cache-Control标头?
[英]What is Squid's default caching policy with no Cache-Control header?
Tomcat 7 可以配置为插入“Content-Security-Policy”HTTP 标头吗?
[英]Can Tomcat 7 be configured to insert “Content-Security-Policy” HTTP header?
HTTP Content-Security-Policy 是按页面还是按 GET 设置的?
[英]Is HTTP Content-Security-Policy set per page or per GET?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
默认设置HTTP header为Postman上的所有请求
在tcl http中将默认的http标头请求设置为空
在flutter http请求中为所有请求设置默认标头的最佳方法
在Go中添加默认的HTTP标头
$ http设置标头错误-angularjs
什么是Squid的默认缓存策略,没有Cache-Control标头?
如何在HTTP响应中设置标头?
Tomcat 7 可以配置为插入“Content-Security-Policy”HTTP 标头吗?
HTTP Content-Security-Policy 是按页面还是按 GET 设置的?
是否必须在http标头中设置cookie?
相关标签