Https 内容安全策略缺少主机/域的协议/方案，是否安全？_Https_Protocols_Content Security Policy_Url Scheme

Https 内容安全策略缺少主机/域的协议/方案，是否安全？

https

Https 内容安全策略缺少主机/域的协议/方案，是否安全？,https,protocols,content-security-policy,url-scheme,Https,Protocols,Content Security Policy,Url Scheme,我得到了这个CSP： Content-Security-Policy: default-src 'none'; script-src 'self' 'unsafe-eval' 'unsafe-inline'; connect-src 'self'; img-src 'self' data:; style-src 'self' 'unsafe-inline' fonts.googleapis.com; frame-src 'self'; font-src data: fonts.gstatic.c

我得到了这个CSP：

Content-Security-Policy: default-src 'none'; script-src 'self' 'unsafe-eval' 'unsafe-inline'; connect-src 'self'; img-src 'self' data:; style-src 'self' 'unsafe-inline' fonts.googleapis.com; frame-src 'self'; font-src data: fonts.gstatic.com 'self'; frame-ancestors 'self';

例如，fonts.googleapis.com没有方案或协议（https:缺席）。它是否自动意味着它是安全的HTTPs（如果当前页面/源是安全的）？它是否容易受到MiTM攻击？我认为文档对我来说不清楚（谷歌的CSP评估师说“好”）

它是否自动意味着它是安全的HTTPs（如果当前页面/源是安全的）

是的，无模式主机源意味着浏览器将遵循相同的源策略来恢复实际的方案。
因此，如果页面通过HTTPS加载，CSP中的所有无模式主机源将获得

HTTPS://

scheme。
在HTTP页面上，CSP中的所有无模式主机源都获得了

HTTP://

scheme，所有的细节都是

它是否容易受到MiTM攻击

它仅在HTTP页面上易受攻击。任何HTTP页面都容易受到MiTM的攻击，许多俄罗斯ISP使用HTTP上的MiTM访问客户访问的页面

你为什么不担心

“自我”

的使用？

'self'

表示

http://example.comHTTP页面上的

和

https://example.com

在HTTPS页面上。因此，它的脆弱性与无模式

fonts.googleapis.com

用法相同

顺便问一句为什么你会在2021年从谷歌的CDN加载字体？这会减慢站点的速度，并且不会被浏览器缓存。用于提取字体并将其存储在本地，然后使用

感谢您对我自己托管字体的建议。