[如果浏览器从URI请求资源,并且第一个响应中的CSP标头仅指示从'self'加载资源,即:
Content-Security-Policy: default-src 'self'
但是随后对相同来源的资源的请求在其标头中返回更宽松的CSP,即:
Content-Security-Policy: default-src 'self' *.trusted.com
浏览器是否应用指示的最宽松的政策?
“浏览器不会在响应之间保留CSP策略,并且在响应之间也不会维护先前响应中有关策略的任何状态信息。” -如上所述