标签: http content-security-policy
我有单页应用程序,其中我只加载索引,其他每个请求都是ajax请求。
我是否需要在这些ajax响应中使用CSP标头,或者在加载索引后是否已对所有内容强制执行CSP? 所以基本上我需要设置内容安全策略头的唯一地方是索引吗?
答案 0 :(得分:5)
所以基本上我唯一需要设置内容安全策略的地方 标题是索引?
正确。 CSP应用于文档,不受AJAX请求的影响。