对于一个大的内容安全策略http头,您有任何推荐吗? 由于标头数据包大小限制,某些应用程序无法处理从大的内容安全性标头读取。 但是为了列出站点所需的域,需要为每个域使用字节。 您是否观察到了规范的这种限制,以及如何解决它?
1个回答
6
实际上,HTTP头的大小限制有两种类型 - 服务器端和客户端:
- Apache Web服务器所有HTTP响应头的最大大小,默认为8190字节。
如果所有HTTP头的总大小(CSP +“HTTP / 1.1 200 OK”+ Content-type:“text / html; charset = utf-8”+所有其他内容)超过允许的限制,则Web服务器返回502错误。 - 在某些移动设备上限制接收缓冲区的大小。可以通过违规报告检测到它们中的
original-policy字段被截断。上次观察到是在6年前。
要解决问题:
- 使用
*来白名单一组子域名(*.google.com)。 - 使用
img-src *允许来自任何地方的图片,因为通过图片进行XSS攻击的可能性较小。 - 在
script-src指令中使用'strict-dynamic'令牌,并从其中删除所有基于主机的来源,除了http: https:。有关详细信息,请参见Google的strict CSP。
- granty
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接