所有资源进入CSP标头的default-src

时间:2018-06-28 12:35:21

标签: html http-headers content-security-policy websecurity

为什么不将所有源都放入CSP Header的default-src中?为什么会有不同的src指令?如果有太多的src指令,则一定是有原因的。

现在从另一个方向来看,有人会把所有源都放入default-src吗?

我提出这个问题的原因之一是因为我们的标头越来越大,我想避免在针对各种资源类型的多个src指令中重复出现一个域(例如,一个域同时提供图像,字体和CSS)

0 个答案:

没有答案