对于HTTP Feature-Policy
标头,您可以单独设置https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy中提到的功能。但是如何设置默认值?
你可以通过设置Content-Security-Policy
为default-src
做到这一点,Feature-Policy
有相同的效果吗?
这比单独设置众多功能更方便,特别是因为在添加新功能时您必须使该列表保持最新。
这里有一个关于这个问题的积极讨论:
https://github.com/w3c/webappsec-feature-policy/issues/189
总结github线程,使用default
策略的主要问题是您可能正在使用稍后受策略约束的功能。然后,您的网站将会中断,因此,浏览器供应商将不会发布新功能,或者不愿意使其受制于政策,并且功能策略作为一个概念将在水中失效。
有很多可能的解决方案:
default
不仅指所有现有的政策,而且指的是可能受政策约束的所有政策,将网络抛到令人难以置信的范围。这将禁用几乎所有DOM,浏览器和网络API。但似乎你可能想要使用这些东西,使得该指令毫无用处。default
,但添加一些不可变的“捆绑”策略。当您采用捆绑包时,您知道它包含什么,并且不会更改,但随着新策略的引入,我们可以创建新的更大,更严格的捆绑包,而不会破坏已采用先前捆绑包的网站。这是my suggestion