一种自动扫描工具正在标记一个事实,即使文档本身具有标头,我们的Javascript包也不会随Content-security-policy标头一起返回。
我的理解是Content-security-policy标头控制文档中资源的加载。当添加到资源本身时,它会提供任何好处吗?
一种自动扫描工具正在标记一个事实,即使文档本身具有标头,我们的Javascript包也不会随Content-security-policy标头一起返回。
我的理解是Content-security-policy标头控制文档中资源的加载。当添加到资源本身时,它会提供任何好处吗?
简短的回答通常是否。
长答案是您需要正确设置内容类型。如果您没有正确设置content-type的话,可能会导致问题,除非js文件不是静态的(在后台呈现)。如果攻击者可以找到动态JS文件的头字节,他们可以将这些文件上下文作为HTML运行。因此,如果您不使用动态JS文件,或者这些文件不允许操纵第一个字节。您无需设置CSP策略。