我应该使用头作为后端API吗？

Question

我们在后端API上实现HSTS，我偶然发现了内容安全策略(，CSP)头。这个标题告诉浏览器可以从哪里下载诸如图像、视频、样式表、脚本等资源。

因为后端API不会真正在浏览器中显示东西，所以设置这个标题有什么价值呢？

Answer 1

CSP是一种旨在削弱xss-attacks的技术。也就是说，它与使用它的其他资源相结合的超媒体是最有用的。这并不是我所期望的API场景。这并不是说你不能使用它。如果您的回复中确实没有交互内容，则没有什么可以阻止您为此标题提供服务：

Content-Security-Policy: default-src 'none';

更进一步，您可以通过设置入侵检测系统来获取收到的违规报告，从而使用CSP作为某种临时的收到的违规报告。这是很好的预期用途，但仍然有点便宜。

总之，理论上它可以通过很少的努力来提高API的安全性。实际上，好处可能微乎其微。如果你喜欢的话，发送标题应该没有坏处。不过，你可以通过抑制MIME型嗅探获得更多的收益。

另见：OWASP安全报头项目