标签: html http-headers content-security-policy websecurity
为什么不将所有源都放入CSP Header的default-src中?为什么会有不同的src指令?如果有太多的src指令,则一定是有原因的。
现在从另一个方向来看,有人会把所有源都放入default-src吗?
我提出这个问题的原因之一是因为我们的标头越来越大,我想避免在针对各种资源类型的多个src指令中重复出现一个域(例如,一个域同时提供图像,字体和CSS)