HTML5 元标记 : if you remove a security meta tag, 浏览器是否相应更新

lovecherry 阅读:50 2024-02-27 23:08:18 评论:0

如果我有一个 CSP 元标记(而不是使用 HTTP header ),如下所示:
<meta http-equiv="Content-Security-Policy" content="default-src https://cdn.example.net; child-src 'none'; object-src 'none'">
...然后我进入开发人员工具并删除该节点,浏览器是否会表现得好像它从未被提供过,或者它被添加的事实无论如何都是持久的?

我问是因为我想知道是否应该使用 HTTP header (无法修改),或者仅使用此元标记是否安全。

请您参考如下方法:

我绝对不会把它放在 html 中。即使你告诉浏览器永远不要缓存 X,有些人最终还是会搞砸并缓存 X“有用”。假设您想将来将 CDN 从 example.net 更改为 differentcdn.com;如果任何浏览器缓存了您的 CSP,您的网站就会被破坏。或者更糟的是,你不小心将CSP CDN部分编辑为“exEmple.net”并部署;浏览器缓存这个,你的网站完全坏了。我们有一些用户浏览器缓存 302(临时..)重定向,这些重定向被笨拙地放在 .htaccess 文件中,而不是完全由服务器控制的 http.conf,这是一场噩梦;我不相信浏览器会在任何会破坏我们的应用程序的极其重要的事情上做他们应该做的事情。

据我所知, header 永远不会被缓存。

最后,我建议查看谷歌严格的 CSP 3:https://csp.withgoogle.com/docs/strict-csp.html


标签:HTML5
声明

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

关注我们

一个IT知识分享的公众号