将内容安全策略(CSP(规则放入HTML文档的元标记中真的安全吗?如果我遗漏了什么,请原谅我,但如果黑客想绕过这些规则,那不是像使用 Chrome 的 DEV 工具或类似的东西来选择和删除整个元标记那么简单吗?
尽管无法找到其他有同样担忧的人,但对我来说仍然感觉不对,就像将私有 API 密钥放入客户端脚本一样。任何客户端都可以纵,对吧?
在规范中多次使用meta标签比标头更糟糕。仅在需要时使用它。但它尽可能安全:
注意:通过
元素指定的策略将与受保护资源的任何其他活动策略一起强制执行,无论这些策略是在何处指定的。实施多个策略的一般影响在 §8.1 多个策略的影响中描述。
注意:解析
元素后对元素的内容属性的修改将被忽略。
浏览器解析策略后,无法降低策略的严格性。