.htaccess 或元标记中的内容安全策略?

问题描述 投票:0回答:1

背景

我有一个 VueJs 单页应用程序(实际上只有一个 HTML 文件),我想对其应用 内容安全策略 (CSP)。它托管在子域上,由共享主机提供服务,我可以在那里创建 

.htaccess
文件。

据我了解,我有两个选择:

  • 使用 apache 服务器的 
    .htaccess
    文件将 CSP 指令放入 HTTP 标头中(例如 在此答案中
  • 通过 
    meta http-equiv
    添加 CSP(例如 在本例中

看来我也可以将两者混合使用。

问题

但是,HTTP 标头(使用

.htaccess
)和 
meta http-equiv

方面有区别吗
  • 安全(可以允许脚本,例如进一步操作 html 标题)
  • 浏览器兼容性
  • 其他影响
.htaccess content-security-policy meta http-equiv
1个回答
0
投票

根据@sideshowbarker的这个答案,规范要求浏览器忽略元标记中的一些CSP指令,即:

  • 仅内容安全策略报告
  • 报告-uri
  • 框架祖先
  • 沙盒

如果可能的话,坚持使用 HTTP 标头似乎是最安全的。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.