将内容安全策略(CSP)规则放入HTML文档的meta标签是否真的安全?如果我错过了某些内容,请原谅我,但是如果黑客想绕过这些规则,那岂不是像使用Chrome的DEV工具一样简单,还是选择和删除整个meta标签一样简单?
尽管无法找到其他同样关注的人,但我仍然觉得以将私有API密钥放入客户端脚本中的方式是错误的。任何客户端方面都可以操纵,对吗?
答案 0 :(得分:-1)
在规范中,多次使用meta标记要比标头更糟糕。仅在需要时使用它。但是it's as safe as it can be:
注意:通过<meta>元素指定的策略将与对受保护资源有效的任何其他策略一起执行,无论它们在何处指定。 §8.1 The effect of multiple policies中描述了实施多种策略的一般影响。
在浏览器解析完该策略之后,没有办法使该策略变得不那么严格了。