我有一个 VueJs 单页应用程序(实际上只有一个 HTML 文件),我想对其应用 内容安全策略 (CSP)。它托管在子域上,由共享主机提供服务,我可以在那里创建
.htaccess
文件。
据我了解,我有两个选择:
看来我也可以将两者混合使用。
但是,HTTP 标头(使用
.htaccess
)和 meta http-equiv
在方面有区别吗
根据@sideshowbarker的这个答案,规范要求浏览器忽略元标记中的一些CSP指令,即:
如果可能的话,坚持使用 HTTP 标头似乎是最安全的。