如果我有一个 CSP 元标记(而不是使用 HTTP header ),如下所示:<meta http-equiv="Content-Security-Policy" content="default-src https://cdn.example.net; child-src 'none'; object-src 'none'">
...然后我进入开发人员工具并删除该节点,浏览器是否会表现得好像它从未被提供过,或者它被添加的事实无论如何都是持久的?
我问是因为我想知道是否应该使用 HTTP header (无法修改),或者仅使用此元标记是否安全。
最佳答案
我绝对不会把它放在 html 中。即使你告诉浏览器永远不要缓存 X,有些人最终还是会搞砸并缓存 X“有用”。假设您想将来将 CDN 从 example.net 更改为 differentcdn.com;如果任何浏览器缓存了您的 CSP,您的网站就会被破坏。或者更糟的是,你不小心将CSP CDN部分编辑为“exEmple.net”并部署;浏览器缓存这个,你的网站完全坏了。我们有一些用户浏览器缓存 302(临时..)重定向,这些重定向被笨拙地放在 .htaccess 文件中,而不是完全由服务器控制的 http.conf,这是一场噩梦;我不相信浏览器会在任何会破坏我们的应用程序的极其重要的事情上做他们应该做的事情。
据我所知, header 永远不会被缓存。
最后,我建议查看谷歌严格的 CSP 3:https://csp.withgoogle.com/docs/strict-csp.html
关于HTML5 元标记 : if you remove a security meta tag, 浏览器是否相应更新?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45011975/