设置特性策略HTTP报头的默认设置

Question

对于header，您可以单独设置Feature-Policy中提到的特性。但我如何设置默认设置呢？

您可以通过设置Content-Security-Policy来实现default-src，Feature-Policy是否具有等效性？

这将比单独设置众多特性中的每一个更方便，特别是因为随着新特性的添加，您必须保持该列表的最新。

Answer 1

在此对这一问题进行了积极的讨论：

https://github.com/w3c/webappsec-feature-policy/issues/189

总结一下github线程，拥有一个default策略的主要问题是，您可能正在使用后来成为策略的特性。然后你的网站就会崩溃，结果浏览器供应商要么不发布新功能，要么不愿意让它服从于政策，而功能策略作为一个概念就会死于非命。

这方面有若干可能的解决办法：

• 让default不仅引用所有现有的策略，还引用所有可能受策略约束的策略，方法是将网络抛出非常宽。这将禁用几乎所有的DOM、浏览器和网络API。但是你很可能会想要使用其中的一些东西，使指令变得非常无用。
• 不要实现default，而是添加一些不可变的“bundle”策略。当您采用这个包时，您知道它包含了什么，这不会改变，但是随着新策略的引入，我们可以创建新的更大、更严格的捆绑包，而不会破坏已经采用了以前的捆绑包的站点。我是我的建议