Content-Security-Policy HTTP响应标头字段是传递策略的首选机制
但是有两种有效的机制:通过HTTP标头传递和通过HTML meta元素传递:
<meta http-equiv="Content-Security-Policy" content="..."/>
为什么首选通过标头进行传递,或者更重要的是,为什么通过HTML meta标签进行传递有哪些弊端?
由于各种原因,在我们的部署中,将CSP添加到HTML头中比较容易管理。
答案 0 :(得分:1)
似乎该问题已经在评论中得到了回答,但是没有人有几分钟的时间来写答复,所以我自己尝试一下。
与通过HTML元元素的传递相比,通过HTTP响应的Content-Security-Policy传递支持一些额外的功能,例如 Content-Security-Policy-Report-Only 和 report-uri ,框架祖先和沙盒指令。
但是,如果您不需要使用任何这些功能,则使用HTTP标头没有任何优势。
请注意,使用HMTL方式时,http-equiv元标记应首先出现在标头中,因为它仅适用于其后的元素。