标签: asp.net asp.net-web-api content-security-policy
我对Web开发很陌生,只是了解内容安全策略(CSP)如何用于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。对于发布Web页面的Web App,这对我来说很有意义。我是否还需要为只响应数据(json,xml等)的Web API实现CSP?
答案 0 :(得分:4)
如果有疑问,我会查看具有良好安全跟踪记录的网站。例如,Github似乎使用非常严格的CSP提供了一些API响应:
Content-Security-Policy:default-src 'none'