我们有一个基于Ember的网站,该网站分为两个概念部分,这些部分需要自己的内容安全策略。目前有一个CSP应用于index.html。
浏览器是否可以在页面加载后在API /服务器响应中发送Content-Security-Policy标头?我曾尝试在API响应中发送此标头,但Chrome似乎无法兑现。
答案 0 :(得分:2)
由于CSP规范(2016年12月15日第2级),这是不可能的:
3.5。政策适用性
本节不是规范性的。
策略与受保护资源相关联,并为该资源强制执行或监视。如果资源未创建新的执行上下文(例如,将脚本,图像或样式表包含到文档中),那么随该资源一起提供的任何策略都将被丢弃而不会生效。其执行受到包含上下文的政策或政策的约束。
来源:https://www.w3.org/TR/CSP2/#which-policy-applies
也不应该改变以HTML元元素提供的CSP:
3.3。 HTML元元素
[...]
注意:解析元素后对元素的content属性的修改将被忽略。