我有一个网站,该网站的网页上有一些<link rel="preload" href="...标签,我还想在其中添加尽可能严格的CSP标头,并且在其中我要使用default-src 'none'
当前,Chrome支持预取,但仅支持功能标志后面的prefetch-src的CSP指令。
因此,我可以使用该功能,但不能对其周围的安全性进行配置,因此在当前default-src 'none'下,所有预取调用均被阻止。
我唯一能找到的解决方案是将default-src 'none'更改为default-src 'self',但这当然会降低安全性,因为可能无法加载很多不需要的资源。
有人找到解决方案吗?
答案 0 :(得分:1)
看来这是Chromium的错误:https://bugs.chromium.org/p/chromium/issues/detail?id=801561
我也遇到了这个问题,这很令人讨厌。似乎唯一的解决方法是设置default-src 'none'并等待他们解决问题。不理想...