[自动扫描工具正在标记这样一个事实,即使文档本身具有标题,也不会通过Content-Security-Policy标题返回我们的Javascript捆绑包。
我的理解是Content-Security-Policy标头控制文档中资源的加载。当添加到资源本身时,它会提供任何好处吗?
简短的回答通常不是。
长答案是,您需要正确设置内容类型。如果您没有正确设置content-type的话,可能会导致问题,除非js文件不是静态的(在后台呈现)。如果攻击者可以找到动态JS文件的操作[[first bytes,则他们可以将这些文件上下文作为HTML运行。因此,如果您不使用动态JS文件,或者这些文件不允许操纵第一个字节。您不需要设置CSP策略。