我正在为我公司的网站添加Content-Security-Policy-Report-Only标题。在我研究它时,我发现其中一些页面已经设置了Content-Security-Policy标头。 我进一步调查,发现指令不是必需的。此外,用于这些页面的默认指令是“self”,而我计划为仅报告设置的默认指令是“https:”
我不是这方面的专家,并且希望确保两个标头值都不会干扰。因此寻找指导
如果我为已经有CSP标题的网页设置仅报告,是否会干扰现有标头?行为浏览器是否依赖?
任何帮助/指针都有助于决定。
谢谢!
答案 0 :(得分:2)
内容 - 安全 - 政策和内容 - 安全 - 政策 - 报告 - 仅相互影响,完全独立。在收紧政策时,设定两者是一种常见做法。我不会怀疑在某些时候存在这种行为的错误,但规范很明确。
答案 1 :(得分:-1)
根据链接here,服务器不得在同一请求中发送两个标头 以下是原始文本:服务器不得在同一HTTP响应中提供Content-Security-Policy头字段和Content-Security-Policy-Report-Only头字段。如果客户端在响应中收到两个头字段,它必须丢弃所有Content-Security-Policy-Report-Only头字段,并且必须强制执行Content-Security-Policy头字段。