meta和header中 CSP的优先级问题
来源:3-11 CSP
程煦儿
2021-01-21
请问老师,在meta和服务端的response header中同时设置CSP ,他们谁的优先级更高?
测了下
我在meta中设置defalut-src:self 在服务端的response header中设置default-src:https
最后结果:无论本域名下的外链 还是https的外链 都被block了
那么是不是可以理解:两个同时设置时,浏览器选择最安全的策略,即两条策略取交集。。。
再追问个问题老师,如果在服务端已经设置connect-src,那么在客户端有没有什么办法给他覆盖掉呀??哈哈,略微过分哈
写回答
1回答
-
多条Content-Security-Policy确实是有合并的关系的,具体优先级我也没仔细测过,建议看https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy
012021-01-22
相似问题