Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我了解使用 CSP 的好处,但是为 HTML 文件以外的任何内容发送这些标头是否浪费?例如,我是否需要在图像上发送 CSP 标头?为了.js文件?
.js
Content-Security-Policy 标头仅在 HTML 页面上有意义。
对图像或其他资源有意义的安全标头是 Access-Control-Allow-Origin。但默认情况下这是限制性的,所以你不需要做任何事情。