[英]Set a default for Feature-Policy HTTP header
对于HTTP Feature-Policy
标头,您可以分别设置https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy中提到的功能。 但是如何设置默认值?
您可以通过设置default-src
为Content-Security-Policy
做到这一点, Feature-Policy
是否等效?
这将比分别设置众多功能中的每一个功能更为方便,特别是因为添加新功能时,您必须使该列表保持最新。
这里对此问题进行了积极的讨论:
https://github.com/w3c/webappsec-feature-policy/issues/189
总结一下github线程,拥有default
策略的主要问题是您可能正在使用某个功能,该功能以后将要服从策略。 然后,您的网站将崩溃,结果,浏览器供应商将要么不提供新功能,要么不愿意将其置于政策之下,而作为一项概念的功能政策将陷入困境。
有许多可能的解决方案:
default
引用所有现有策略,而且还引用可能受策略限制的所有内容 。 这实际上将禁用所有DOM,浏览器和网络API。 但是您似乎可能想使用其中的一些东西,从而使该指令变得毫无用处。 default
而是添加一些不变的“捆绑”策略。 当您采用捆绑软件时,您会知道它包含的内容,并且不会改变,但是随着新策略的推出,我们可以创建更大,更严格的捆绑软件,而不会破坏采用先前捆绑软件的站点。 这是我的建议
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.