[英]Is there a benefit to adding Content-Security-Policy headers to Javascript resources?
一個自動掃描工具正在標記這樣一個事實,即我們的 Javascript 包沒有返回一個 Content-Security-Policy 標頭,即使文檔本身有標頭。
我的理解是 Content-Security-Policy 標頭控制文檔中資源的加載。 當它添加到資源本身時,它是否提供任何好處?
簡短的回答通常是否定的。
長答案是你需要正確設置你的內容類型。 有一種情況,如果您沒有正確設置內容類型,它會導致問題,除非 js 文件不是靜態的,在后台呈現。 如果攻擊者可以找到動態 JS 文件的第一個字節,他們就可以將這些文件上下文作為 HTML 運行。 因此,如果您不使用動態 JS 文件或這些文件不允許操作第一個字節。 您不需要設置 CSP 策略。
用Javascript捕獲Content-Security-Policy異常
[英]Catching Content-Security-Policy exceptions with Javascript
X-Frame-Options和Content-Security-Policy標頭之間的安全性差異?
[英]Security difference between X-Frame-Options and Content-Security-Policy headers?
Content-Security-Policy 和 Content-Security-Policy-Report-Only 頭可以共存而不互相干擾嗎
[英]Can Content-Security-Policy and Content-Security-Policy-Report-Only headers coexist without interfering with each other
HTTP Content-Security-Policy 是按頁面還是按 GET 設置的?
[英]Is HTTP Content-Security-Policy set per page or per GET?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
