对于HTTP Feature-Policy标头,您可以分别设置https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy中提到的功能。但是如何设置默认值?
您可以通过设置Content-Security-Policy为default-src进行操作,是否有Feature-Policy的等效项?
比分别设置众多功能中的每一个功能都更方便,尤其是因为添加新功能时,必须使该列表保持最新。
答案 0 :(得分:0)
这里对此问题进行了积极的讨论:
https://github.com/w3c/webappsec-feature-policy/issues/189
总结github线程,拥有default策略的主要问题是您可能正在使用某个功能,该功能后来会受策略的约束。然后,您的网站将崩溃,结果,浏览器供应商将不会发布新功能,或者将不愿接受该新功能,并且作为概念的功能策略将一dead不振。
对此有多种可能的解决方案:
default不仅涉及所有现有策略,而且还涉及通过将网络投得非常大的范围而可能涉及到的所有。这实际上将禁用所有DOM,浏览器和网络API。但是您似乎可能想使用其中的一些东西,从而使该指令变得毫无用处。default,而是添加一些不变的“捆绑”政策。当您采用捆绑软件时,您会知道它包含的内容,并且不会改变,但是随着新策略的推出,我们可以创建更大,更严格的捆绑软件,而不会破坏采用先前捆绑软件的站点。这是my suggestion