Content Security Policy和Content Security Policy Report Only标头是否可以共存而不相互干扰
我正在为我公司的网站添加内容安全策略报告标题。当我研究它时,我发现一些页面已经设置了内容安全策略头。 我进一步调查发现,不需要这些指令。此外,用于这些页面的默认指令是“self”,而我计划只为报表设置“https:” 我不是这方面的专家,希望确保两个标题值不会相互干扰。因此寻求指导 如果我只为已经有CSP头的页面设置报告,它会干扰现有的头吗?行为是否依赖于浏览器 任何帮助/指示都将有助于做出决定Content Security Policy和Content Security Policy Report Only标头是否可以共存而不相互干扰,security,content-security-policy,Security,Content Security Policy,我正在为我公司的网站添加内容安全策略报告标题。当我研究它时,我发现一些页面已经设置了内容安全策略头。 我进一步调查发现,不需要这些指令。此外,用于这些页面的默认指令是“self”,而我计划只为报表设置“https:” 我不是这方面的专家,希望确保两个标题值不会相互干扰。因此寻求指导 如果我只为已经有CSP头的页面设置报告,它会干扰现有的头吗?行为是否依赖于浏览器 任何帮助/指示都将有助于做出决定 谢谢 内容安全策略和内容安全策略报告仅互不影响,完全独立。在收紧政策时,将两者同时设置是一种常见做法
谢谢 内容安全策略和内容安全策略报告仅互不影响,完全独立。在收紧政策时,将两者同时设置是一种常见做法。我不怀疑在某个时候这种行为会出现错误,但规范是明确的。根据链接,服务器不能在同一个请求中发送两个头。
原文如下:服务器不得在同一HTTP响应中提供内容安全策略头字段和内容安全策略仅报告头字段。如果客户端在响应中收到两个标题字段,则必须放弃所有内容安全策略仅报告标题字段,并且必须强制执行内容安全策略标题字段。此处引用的链接是过期的草稿。当前的W3C建议是,两个头都可以按照中的指示发送。