Content-Security-Policy标题似乎是提高网站安全性的好方法。但是,我们试图找到使用此标头的任何大型网站,我们没有找到任何单个网站,这与许多其他安全相关的标头不同。这很奇怪,我想知道是否有任何可能由此标题引起的问题(缓存,错误等)。
答案 0 :(得分:2)
是的,CSP是安全的,但你不能单独依赖它。
对于拥有支持该浏览器的浏览器的访问者而言,CSP会使XSS攻击变得非常困难(尽管并非不可能)。
许多浏览器不支持它 - IE11仍然不支持,因此您仍然需要严格管理显示或回显的任何用户输入以限制您的风险。
在现有应用程序中实现CSP可能非常痛苦,为了获得使用内联CSS和Javascript而停止的全部好处。这反过来又打破了许多库和框架 - 例如Modernizer breaks with CSP on。
由于这个原因,它还没有被广泛使用。