我想将X-XSS-Protection,Content-Security-Policy等安全标头添加到我的HTML5应用中。 Web服务器不允许我添加自定义HTTP标头,因此我看到的唯一选择是带有http-equiv的meta元素。
我在互联网上检查了一下,了解该标签具有特定的允许值集,例如,允许content-security-policy,但不允许content-security-policy-report-only,也不允许x-xss-protection,依此类推
我只是想确认我无法使用meta标记实现目标(即,我无法在此处设置任何标头)
我想问问这个元标记背后的想法是什么,例如像我这样的情况,当服务器不允许我设置随机HTTP标头时?