Abbiamo un'applicazione web multi-pagina. Capisco che idealmente CSP dovrebbe essere impostato solo per le risposte text / html. È sufficiente aggiungere l'intestazione Content Security Policy (CSP) alla pagina di accesso o aggiungere l'intestazione a ogni & ogni pagina?
Non ho trovato documentazione di supporto csp per verificarlo.
I understand that ideally CSP should be set for text/html responses only.
Non fa male impostarlo su ogni altra risposta, specialmente se potrebbe essere ingannato per essere reso in contesto HTML.
Is it enough to add content security policy (CSP) header to the login page or should I add the header to each & every page?
CSP viene applicato solo alla pagina in cui è impostato. Pertanto, se un CSP viene inviato solo per la pagina di accesso, non verrà applicato a nessun'altra pagina. Poiché probabilmente non è ciò che desideri, devi impostarlo su ogni pagina.
Did not find any supporting csp documentation to check this.
MDN - Content Security Policy (CSP) - L'uso di CSP dice che CSP viene utilizzato solo per la pagina in cui è impostato:
Configuring Content Security Policy involves adding the Content-Security-Policy HTTP header to a web page and giving it values to control resources the user agent is allowed to load for that page.
Leggi altre domande sui tag content-security-policy