在3. CSP策略传递章节中,Content-Security-Policy HTTP响应头字段是传递策略的首选机制。但是有两种有效机制:通过HTTP头传递和通过HTML
为什么通过头部传递是“首选”,或者更重要的是,使用HTML的标签传递的缺点是什么?
出于各种原因,在我们的部署中,将CSP添加到HTML头部更易管理。
meta
元素传递。<meta http-equiv="Content-Security-Policy" content="..."/>
为什么通过头部传递是“首选”,或者更重要的是,使用HTML的标签传递的缺点是什么?
出于各种原因,在我们的部署中,将CSP添加到HTML头部更易管理。