我们有一个已建立的站点,现在正在受 CSP 规则的影响。我已将我们需要的所有脚本添加到 Content-Security-Policy header 。
当使用隐私浏览或以前从未访问过该站点的设备访问该站点时,我获得了新的 CSP header 并且一切正常。
但是,之前访问过该站点的用户会收到旧 header ,并且会收到 CSP 警告。
注意 我不能使用 expire 0 或类似的浏览器,因为浏览器不会寻找新的 header ,所以永远不知道 header 有过期了。
我正在寻找一种方法来告诉浏览器“嘿,你应该检查我很酷的新标题,因为它们是新的”。
最佳答案
原来我被覆盖 CSP header 的本地存储挫败了。即使清除缓存也不能解决问题,因为本地存储仍然存在。
希望这对其他人有帮助!
关于http - 如何在不声明过期的情况下强制浏览器获取新 header ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33014574/