每个页面的内容安全策略(CSP)?

时间:2013-11-02 17:31:30

标签: security content-security-policy

我了解使用CSP的好处,但是将这些标头发送给除HTML文件之外的其他内容是否浪费?例如,我是否需要在图像上发送CSP标头?对于.js文件?

1 个答案:

答案 0 :(得分:5)

Content-Security-Policy标头仅对HTML页面有意义。

对图像或其他资源有意义的安全标头是Access-Control-Allow-Origin。但默认情况下这是限制性的,所以你不需要做任何事情。