如何解决可以使用元标记 (http-equiv) 设置 COOP/COEP 标头吗?
Cross-Origin-Embedder-Policy
和 Cross-Origin-Opener-Policy
标头可以用 <Meta>
标签设置,还是只能用实际标头设置?如果没有,是否有可以用元标记设置的标题列表?
以下示例将 crossOriginIsolated: false
记录到控制台。
<!DOCTYPE html>
<html>
<head>
<Meta http-equiv="Cross-Origin-Embedder-Policy" content="require-corp">
<Meta http-equiv="Cross-Origin-Opener-Policy" content="same-origin">
<Meta charset="utf-8">
<Meta name="viewport" content="width=device-width">
<title>COOP/COEP header test</title>
</head>
<body>
<script>console.log("crossOriginIsolated:",self.crossOriginIsolated)</script>
</body>
</html>
如果我删除那些 http-equiv
元标记并使用实际的 HTTP 标头提供文件,那么它会记录 crossOriginIsolated: true
(在 Chrome 和 Firefox 中)。所以好像我不能用元标记设置这些标题?
解决方法
不,他们不能。
根据此规范,http-equiv
仅支持少数 HTTP 标头。
https://html.spec.whatwg.org/multipage/semantics.html#attr-meta-http-equiv。
这意味着这些标头只能由服务器设置为 HTTP(“实际”)标头。
在 HTML 中支持它们将是一个安全漏洞。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。