【发布时间】:2020-07-06 02:56:01
【问题描述】:
自动扫描工具会标记我们的 Javascript 包未返回带有 Content-Security-Policy 标头的事实,即使文档本身具有标头。
我的理解是 Content-Security-Policy 标头控制文档中资源的加载。将其添加到资源本身时是否会带来任何好处?
【问题讨论】:
标签: security websecurity
【发布时间】:2020-07-06 02:56:01
【问题描述】:
简短的回答通常是否定的。
长答案是您需要正确设置内容类型。如果您没有正确设置内容类型,则存在一种情况,除非 js 文件不是静态的,而是在后台呈现,否则会导致问题。如果攻击者可以找到对动态 JS 文件的操纵第一个字节,他们可以将这些文件上下文作为 HTML 运行。因此,如果您不使用动态 JS 文件或这些文件不允许操作第一个字节。您无需设置 CSP 政策。
【讨论】: