向Javascript资源添加Content-Security-Policy头是否有好处？

Question

一个自动扫描工具正在标记我们的Javascript包没有返回Content-Security-Policy标头的事实，即使文档本身有标头。

我的理解是Content-Security-Policy头控制文档中资源的加载。当添加到资源本身时，它是否提供了任何好处？

Answer 1

简短的回答通常是否定的。

长长的答案是你需要正确地设置你的内容类型。有一种情况是，如果你没有正确设置内容类型，除非js文件不是静态的，在后台渲染，否则会导致问题。如果攻击者可以找到动态JS文件中操纵HTML ，他们就可以将这些文件上下文作为运行。因此，如果不使用动态JS文件或那些文件，就不允许操作第一个字节。您无需设置CSP策略。