我当前有一个正在发送 Content-Security-Policy 标头的 nginx 服务器,但是我读到 IE 显然仅支持“X-Content-Security-Policy”。
在请求中同时发送 Content-Security-Policy 和 X-Content-Security-Policy 标头是一个好主意吗?还是这会产生冲突?使用条件语句根据用户代理为正确的浏览器发送正确的标头是一个好主意吗?
答案1
因为用户代理(浏览器)会忽略它们不理解的标头,所以只要标头的效果相同,您提供这两个标头都不会遇到问题。选择您认为更方便的那个。最佳做法是根据用户代理标识有条件地执行操作,但我想不出任何理由说明为什么这实际上是必要的。