如果将其用作 API 并且前端由托管服务单独提供服务,那么从后端发送像
Content-Security-Policy我在本地进行了尝试,发现这些标头似乎不起作用,除非我从后端提供前端服务,例如Expressjs 提供静态文件。
是这种情况还是我错过了什么?
是的,确实如此。许多安全标头(例如提到的 CSP)以及许多其他,都是在服务器端实现的客户端控件。 CSP 是一个使用起来相当复杂的标头。例如,它告诉我们哪些 JS 文件(来自哪个域的文件)可以执行,哪些不能执行,或者可以与哪个后端进行通信。正如您可能已经预料到的那样,错误配置将使您的整个应用程序崩溃。解决办法不是放弃,而是坚持下去。对于大型系统,需要数年时间才能完全接受 CSP 及其所有内容和适当的配置。
请记住,CSP 具有报告问题而不是阻止问题的功能 (
Content-Security-Policy-Report-Only