Content-Security-Policy标头应该在每个服务器响应(图像,CSS,JS,...)中还是仅在text / html(.html或PHP脚本的HTML输出)中?
答案 0 :(得分:6)
由于CSP是一种客户端保护,仅由浏览器处理HTML文档(无论是静态还是由PHP等动态创建),因此除了text / html文档之外,不需要任何此标题。
事实上,由于CSP策略可能非常大,只需在HTML文档响应中提供它就可以节省带宽。
目前的一个例外是web workers。但是,如果您不使用它们,那么您现在可以忽略它们。
注意当前CSP draft spec在目标部分中说CSP用于控制:
可以请求的资源(以及随后嵌入或 代表特定文件或工人执行)