使用Ember/JavaScript的动态内容安全策略
我们有一个基于余烬的网站,该网站分为两个概念部分,需要自己的内容安全策略。当前有一个CSP应用于使用Ember/JavaScript的动态内容安全策略,javascript,ember.js,content-security-policy,Javascript,Ember.js,Content Security Policy,我们有一个基于余烬的网站,该网站分为两个概念部分,需要自己的内容安全策略。当前有一个CSP应用于index.html 页面加载后,API/服务器响应中发送的内容安全策略头是否可能被浏览器接受?我曾尝试在API响应中发送此标题,但Chrome似乎不支持此标题。由于CSP规范(2级,2016年12月15日): 3.5。政策适用性 本节不规范 策略与受保护的资源相关联,并针对该资源实施或监视。如果资源没有创建新的执行上下文(例如,在文档中包含脚本、图像或样式表时),则随该资源一起交付的任何策略都将被丢
index.html页面加载后,API/服务器响应中发送的
内容安全策略资料来源:由于CSP规范(2级,2016年12月15日),这不可能实现: 3.5。政策适用性 本节不规范 策略与受保护的资源相关联,并针对该资源实施或监视。如果资源没有创建新的执行上下文(例如,在文档中包含脚本、图像或样式表时),则随该资源一起交付的任何策略都将被丢弃而不生效。其执行受包括上下文在内的一项或多项政策的约束 资料来源: 也不可能更改作为HTML元元素提供的CSP: 3.3。HTML元元素 [……] 注意:元元素解析后对其内容属性的修改将被忽略
来源:页面加载后无法发送任何标题,对吗?这不是HTTP的工作方式…需要在响应主体之前发送头。您是否尝试过使用