Content Security Policy和Content Security Policy Report Only标头是否可以共存而不相互干扰

我正在为我公司的网站添加内容安全策略报告标题。当我研究它时，我发现一些页面已经设置了内容安全策略头。 我进一步调查发现，不需要这些指令。此外，用于这些页面的默认指令是“self”，而我计划只为报表设置“https:”

我不是这方面的专家，希望确保两个标题值不会相互干扰。因此寻求指导

如果我只为已经有CSP头的页面设置报告，它会干扰现有的头吗？行为是否依赖于浏览器

任何帮助/指示都将有助于做出决定

---

谢谢

内容安全策略和内容安全策略报告仅互不影响，完全独立。在收紧政策时，将两者同时设置是一种常见做法。我不怀疑在某个时候这种行为会出现错误，但规范是明确的。

根据链接，服务器不能在同一个请求中发送两个头。

---

原文如下：服务器不得在同一HTTP响应中提供内容安全策略头字段和内容安全策略仅报告头字段。如果客户端在响应中收到两个标题字段，则必须放弃所有内容安全策略仅报告标题字段，并且必须强制执行内容安全策略标题字段。

此处引用的链接是过期的草稿。当前的W3C建议是，两个头都可以按照中的指示发送。