من درک می کنم که ایده آل CSP باید فقط برای پاسخ متنی / HTML تعیین شود.
این امر برای هر گونه پاسخ دیگر نیز به آن صدمه نمی زند، به خصوص اگر آن را می توان در متن HTML ارائه داد.
آیا کافی است که حاوی هدر سیاست امنیت محتوا (CSP) را به صفحه ورود وارد کنید یا باید من هدر را به هر صفحه و هر صفحه اضافه می کنم؟
CSP فقط به صفحه ای که در آن تنظیم شده است اعمال می شود. بنابراین اگر یک CSP برای صفحه ورود به سیستم ارسال شود، به هیچ صفحهای دیگر اعمال نخواهد شد.
MDN – سیاست امنیت محتوا (CSP) – استفاده از CSP می گوید که CSP تنها می شود برای صفحه ای که در آن تنظیم شده است استفاده می شود:
پیکربندی خط مشی امنیت محتوا شامل افزودن هدر HTTP Content-Security-Policy به یک صفحه وب و ارزش گذاری آن برای کنترل منابع مجاز کاربر برای بارگیری برای است که [صفحه.
