[英]Is there a benefit to adding Content-Security-Policy headers to Javascript resources?
一个自动扫描工具正在标记这样一个事实,即我们的 Javascript 包没有返回一个 Content-Security-Policy 标头,即使文档本身有标头。
我的理解是 Content-Security-Policy 标头控制文档中资源的加载。 当它添加到资源本身时,它是否提供任何好处?
简短的回答通常是否定的。
长答案是你需要正确设置你的内容类型。 有一种情况,如果您没有正确设置内容类型,它会导致问题,除非 js 文件不是静态的,在后台呈现。 如果攻击者可以找到动态 JS 文件的第一个字节,他们就可以将这些文件上下文作为 HTML 运行。 因此,如果您不使用动态 JS 文件或这些文件不允许操作第一个字节。 您不需要设置 CSP 策略。
用Javascript捕获Content-Security-Policy异常
[英]Catching Content-Security-Policy exceptions with Javascript
X-Frame-Options和Content-Security-Policy标头之间的安全性差异?
[英]Security difference between X-Frame-Options and Content-Security-Policy headers?
Content-Security-Policy 和 Content-Security-Policy-Report-Only 头可以共存而不互相干扰吗
[英]Can Content-Security-Policy and Content-Security-Policy-Report-Only headers coexist without interfering with each other
HTTP Content-Security-Policy 是按页面还是按 GET 设置的?
[英]Is HTTP Content-Security-Policy set per page or per GET?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
