На странице 3. Доставка политики CSP говорит
Поле заголовка HTTP-ответа Content-Security-Policy является предпочтительным механизмом доставки политики.
Но есть два допустимых механизма: доставка через HTTP-заголовок и доставка через HTML-элемент meta
:
<meta http-equiv="Content-Security-Policy" content="..."/>
Почему доставка через заголовок «предпочтительнее» или, что более важно, каковы недостатки доставки через HTML-тег meta
?
По разным причинам в нашем развертывании проще управлять добавлением CSP в заголовок HTML.