我们已经建立了一个现在受CSP规则影响的网站。我已将所需的所有脚本添加到Content-Security-Policy标题中。
使用隐私浏览或之前未访问该网站的设备访问该网站时,我获得了新的CSP标题,一切正常。
但是,在获取旧标头之前访问过该网站的用户会收到CSP警告。
NB 我无法使用expire 0或类似的浏览器没有寻找新的标头,所以永远不要知道标头已过期。
我正在寻找一种方法来告诉浏览器“嘿,你应该检查我的酷新标题,因为它们是新的”。
答案 0 :(得分:1)
原来我被覆盖CSP标头的Local Storage挫败了。即使清除缓存也无法解决问题,因为本地存储仍然存在。
希望这有助于其他人!