我不清楚在互联网上阅读文档(即 Mozilla 的 MDN Web 文档)关于为网络工作者强制执行什么内容安全策略。
假设我们有一个由 CSP-a 提供的父页面,它启动了一个 web worker,其源代码是从同一来源下载的,但具有不同的 CSP-b。在这种情况下,Web 浏览器将向工作人员强制执行什么 CSP?特别是我对 connect-src
和 script-src
很感兴趣。
还有两个后续问题:
fetch()
,我们可以指定 { credentials: "same-origin" | "include" }
吗?credentials
的 fetch()
选项方面)工作脚本来自与父页面不同的来源怎么办?