如果网站未在响应标头或HTML Content-Security-Policy中设置<meta>,则Web浏览器的默认(现代)行为是什么?这是不同的浏览器供应商compatibility的列表。
似乎在W3C CSP specification下找不到它。
未设置Access-Control-Allow-Origin的默认Web浏览器行为是相同的原始策略。在更多网站上添加Access-Control-Allow-Origin可以使其更加宽松。
Content-Security-Policy怎么样?如果不设置它,它是否允许全部(例如this)或仅限制为self?