為Feature-Policy HTTP標頭設置默認值
[英]Set a default for Feature-Policy HTTP header
問題描述
對於HTTP Feature-Policy標頭,您可以分別設置https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy中提到的功能。 但是如何設置默認值?
您可以通過設置default-src為Content-Security-Policy做到這一點, Feature-Policy是否等效?
這將比分別設置眾多功能中的每一個功能更為方便,特別是因為添加新功能時,您必須使該列表保持最新。
1 個解決方案
解決方案1
0 2019-02-19 13:47:48
這里對此問題進行了積極的討論:
https://github.com/w3c/webappsec-feature-policy/issues/189
總結一下github線程,擁有default策略的主要問題是您可能正在使用某個功能,該功能以后將要服從策略。 然后,您的網站將崩潰,結果,瀏覽器供應商將要么不提供新功能,要么不願意將其置於政策之下,而作為一項概念的功能政策將陷入困境。
有許多可能的解決方案:
- 通過使網絡難以置信地廣泛傳播,使
default引用所有現有策略,而且還引用可能受策略限制的所有內容 。 這實際上將禁用所有DOM,瀏覽器和網絡API。 但是您似乎可能想使用其中的一些東西,從而使該指令變得毫無用處。 - 不要實現
default而是添加一些不變的“捆綁”策略。 當您采用捆綁軟件時,您會知道它包含的內容,並且不會改變,但是隨着新策略的推出,我們可以創建更大,更嚴格的捆綁軟件,而不會破壞采用先前捆綁軟件的站點。 這是我的建議
在flutter http請求中為所有請求設置默認標頭的最佳方法
[英]Best way to set default header for all request in flutter http request
什么是Squid的默認緩存策略,沒有Cache-Control標頭?
[英]What is Squid's default caching policy with no Cache-Control header?
Tomcat 7 可以配置為插入“Content-Security-Policy”HTTP 標頭嗎?
[英]Can Tomcat 7 be configured to insert “Content-Security-Policy” HTTP header?
HTTP Content-Security-Policy 是按頁面還是按 GET 設置的?
[英]Is HTTP Content-Security-Policy set per page or per GET?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
默認設置HTTP header為Postman上的所有請求
在tcl http中將默認的http標頭請求設置為空
在flutter http請求中為所有請求設置默認標頭的最佳方法
在Go中添加默認的HTTP標頭
$ http設置標頭錯誤-angularjs
什么是Squid的默認緩存策略,沒有Cache-Control標頭?
如何在HTTP響應中設置標頭?
Tomcat 7 可以配置為插入“Content-Security-Policy”HTTP 標頭嗎?
HTTP Content-Security-Policy 是按頁面還是按 GET 設置的?
是否必須在http標頭中設置cookie?
相關標簽