Content-Security-Policy和Content-Security-Policy-Report-Only标头可以共存而不会相互干扰

时间:2016-06-17 20:01:23

标签: security content-security-policy

我正在为我公司的网站添加Content-Security-Policy-Report-Only标题。在我研究它时,我发现其中一些页面已经设置了Content-Security-Policy标头。 我进一步调查,发现指令不是必需的。此外,用于这些页面的默认指令是“self”,而我计划为仅报告设置的默认指令是“https:”

我不是这方面的专家,并且希望确保两个标头值都不会干扰。因此寻找指导

如果我为已经有CSP标题的网页设置仅报告,是否会干扰现有标头?行为浏览器是否依赖?

任何帮助/指针都有助于决定。

谢谢!

2 个答案:

答案 0 :(得分:2)

内容 - 安全 - 政策和内容 - 安全 - 政策 - 报告 - 仅相互影响,完全独立。在收紧政策时,设定两者是一种常见做法。我不会怀疑在某些时候存在这种行为的错误,但规范很明确。

答案 1 :(得分:-1)

根据链接here,服务器不得在同一请求中发送两个标头 以下是原始文本:服务器不得在同一HTTP响应中提供Content-Security-Policy头字段和Content-Security-Policy-Report-Only头字段。如果客户端在响应中收到两个头字段,它必须丢弃所有Content-Security-Policy-Report-Only头字段,并且必须强制执行Content-Security-Policy头字段。