我使用的是服务器lighttpd/1.4.53。我想添加HTTP头"Content-Security-Policy"给我的服务器。我有几个与此相关的问题:
- 正如该头文件所示,大多数指令都是基于域的。例如,
Content-Security-Policy: default-src 'self'; script-src *.example.com;是否有办法使此IP为基础?或者我们可以让"self"考虑服务器自己的IP吗? - 如何查看浏览器和服务器使用的CSP版本?CSP是否使用与父HTTP协议本身相同的版本?
文档:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/default-src
大多数指令是基于域的…有没有办法让这个IP成为基础?
CSP规范不允许使用127.0.0.1以外的IP地址,参见match-hosts章节。尽管Chrome和Firefox支持IPv4地址作为东道主来源。
我们可以让'self'考虑服务器自己的IP吗
没有办法那样做。此外,为IP地址制作SSL证书是不可能的,因此HTTPS将不起作用。
如何查看浏览器和服务器当前使用的CSP版本?
对不同版本CSP的指令和特性的支持正在被浏览器逐渐实现。因此,CSP2和CSP3浏览器之间没有明确的界限。
一些浏览器部分支持CSP3,但没有实现CSP2的一些元素。
CSP是否使用与父HTTP协议本身相同的版本?
HTTP协议与CSP版本没有任何关系。