所以我有一个外部网络安全公司的客户标记了内容安全策略标头没有默认 src 并且它不应该是内联等只有升级不安全的请求并且应该删除 xss 标头和另一个标头我可以'不记得了。现在我已经做了一些研究,并在开发环境上实施了 https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP 中的基本政策,我的天,它破坏了一切!切换到仅报告,我明白为什么它破坏了一切!所以我想我会检查 Amazon、eBay、Etsy 等,看看他们是如何实现它的,但他们没有超出我所拥有的标题,而且他们仍然有相同的旧标题。如果它不是在最高级别完成的,那么被标记有什么用呢?据我所知,我将不得不花费数小时将标头中的第三方脚本列入白名单,并删除和内联脚本,这对于 CMS 和插件来说将是一场噩梦。我错过了什么?谢谢!
尝试设置内容安全策略标头,但它破坏了一切!