使用Ember/JavaScript的动态内容安全策略
我们有一个基于余烬的网站,该网站分为两个概念部分,需要自己的内容安全策略。当前有一个CSP应用于使用Ember/JavaScript的动态内容安全策略,javascript,ember.js,content-security-policy,Javascript,Ember.js,Content Security Policy,我们有一个基于余烬的网站,该网站分为两个概念部分,需要自己的内容安全策略。当前有一个CSP应用于index.html 页面加载后,API/服务器响应中发送的内容安全策略头是否可能被浏览器接受?我曾尝试在API响应中发送此标题,但Chrome似乎不支持此标题。由于CSP规范(2级,2016年12月15日): 3.5。政策适用性 本节不规范 策略与受保护的资源相关联,并针对该资源实施或监视。如果资源没有创建新的执行上下文(例如,在文档中包含脚本、图像或样式表时),则随该资源一起交付的任何策略都将被丢
index.html
页面加载后,API/服务器响应中发送的
内容安全策略
头是否可能被浏览器接受?我曾尝试在API响应中发送此标题,但Chrome似乎不支持此标题。由于CSP规范(2级,2016年12月15日):
3.5。政策适用性
本节不规范
策略与受保护的资源相关联,并针对该资源实施或监视。如果资源没有创建新的执行上下文(例如,在文档中包含脚本、图像或样式表时),则随该资源一起交付的任何策略都将被丢弃而不生效。其执行受包括上下文在内的一项或多项政策的约束
资料来源:
也不可能更改作为HTML元元素提供的CSP:
3.3。HTML元元素
[……]
注意:元元素解析后对其内容属性的修改将被忽略
资料来源:由于CSP规范(2级,2016年12月15日),这不可能实现: 3.5。政策适用性 本节不规范 策略与受保护的资源相关联,并针对该资源实施或监视。如果资源没有创建新的执行上下文(例如,在文档中包含脚本、图像或样式表时),则随该资源一起交付的任何策略都将被丢弃而不生效。其执行受包括上下文在内的一项或多项政策的约束 资料来源: 也不可能更改作为HTML元元素提供的CSP: 3.3。HTML元元素 [……] 注意:元元素解析后对其内容属性的修改将被忽略
来源:页面加载后无法发送任何标题,对吗?这不是HTTP的工作方式…需要在响应主体之前发送头。您是否尝试过使用
元素交付策略?我们可以在页面加载后将请求的响应头发送到API。这些响应头可以包含影响状态的cookie,因此,设想CSP可以类似地工作并不是完全不合理的(只是大部分不合理)。元方法可能工作得很好,谢谢。页面加载后不可能发送任何标题,对吗?这不是HTTP的工作方式…需要在响应主体之前发送头。您是否尝试过使用
元素交付策略?我们可以在页面加载后将请求的响应头发送到API。这些响应头可以包含影响状态的cookie,因此,设想CSP可以类似地工作并不是完全不合理的(只是大部分不合理)。元方法可能很有效,谢谢。好吧,那就完了。谢谢。好吧,那太糟了。谢谢