[英]Set a default for Feature-Policy HTTP header
對於HTTP Feature-Policy
標頭,您可以分別設置https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy中提到的功能。 但是如何設置默認值?
您可以通過設置default-src
為Content-Security-Policy
做到這一點, Feature-Policy
是否等效?
這將比分別設置眾多功能中的每一個功能更為方便,特別是因為添加新功能時,您必須使該列表保持最新。
這里對此問題進行了積極的討論:
https://github.com/w3c/webappsec-feature-policy/issues/189
總結一下github線程,擁有default
策略的主要問題是您可能正在使用某個功能,該功能以后將要服從策略。 然后,您的網站將崩潰,結果,瀏覽器供應商將要么不提供新功能,要么不願意將其置於政策之下,而作為一項概念的功能政策將陷入困境。
有許多可能的解決方案:
default
引用所有現有策略,而且還引用可能受策略限制的所有內容 。 這實際上將禁用所有DOM,瀏覽器和網絡API。 但是您似乎可能想使用其中的一些東西,從而使該指令變得毫無用處。 default
而是添加一些不變的“捆綁”策略。 當您采用捆綁軟件時,您會知道它包含的內容,並且不會改變,但是隨着新策略的推出,我們可以創建更大,更嚴格的捆綁軟件,而不會破壞采用先前捆綁軟件的站點。 這是我的建議
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.