标签: security content-security-policy
我了解使用CSP的好处,但是将这些标头发送给除HTML文件之外的其他内容是否浪费?例如,我是否需要在图像上发送CSP标头?对于.js文件?
.js
答案 0 :(得分:5)
Content-Security-Policy标头仅对HTML页面有意义。
对图像或其他资源有意义的安全标头是Access-Control-Allow-Origin。但默认情况下这是限制性的,所以你不需要做任何事情。