【发布时间】:2019-11-13 18:01:32
【问题描述】:
我正在使用 nginx 来设置 CSP 标头。
我经常在示例中看到这一点:
default-src 'self' http: https: data: blob: 'unsafe-inline' 'unsafe-eval' https://*.foo.com;
我了解https://*.foo.com 允许从foo.com 域加载。
但是“空”http: 和 https: 声明的含义是什么?
【问题讨论】:
标签: nginx http-headers content-security-policy