标签: http-headers content-security-policy
我在互联网上搜索但找不到答案。
是否需要在您网站上的每个资产上使用CSP标头,或者它是否足以让浏览器使用1(或更多)资产来遵循CSP指令?
答案 0 :(得分:2)
它应该在每个HTML响应上,它不需要在其他资产上,如图像或图标。根据您托管站点的方式,这应该可以在全局级别配置(即IIS,您可以向web.config添加全局标头)