内容-安全-策略头

Question

我正在对一个web应用程序进行安全评估，我发现它没有内容安全策略，而是有内容安全策略。这是我第一次看到这样的情况，我想知道:这两个标题是否等效？

浏览器能够识别这个内容-安全策略吗？

Answer 1

--它们不是等价的.

CSP的W3C草案只定义标头Content-Security-Policy和Content-Security-Policy-Report-Only。文档没有定义任何其他标头。

这意味着浏览器可以选择包含这个特定的错误，但浏览器供应商不太可能尝试预测所有可能的错误拼写Content-Security-Policy的方式，以提高兼容性。

现在该怎么做？

将其标记为查找结果，说明它们的CSP头格式错误，可能会被浏览器忽略。无论如何，修复它不应该是困难的。如果开发人员说他们测试过的任意浏览器仍然可以使用它，那么您仍然可以提到，它没有包含在任何草案中，而且是特定于实现的行为，因此存在风险。