Почему доставка Content-Security-Policy через заголовки "предпочтительна"?

Question

В 3.Доставка политики CSP говорит

Поле заголовка ответа HTTP Content-Security-Policy является предпочтительным механизмом для доставки политики

Но есть два допустимых механизма, доставка через заголовок HTTP и доставка через элемент HTML meta:

<meta http-equiv="Content-Security-Policy" content="..."/>

Почему предпочтительна доставка через заголовок или, что еще важнее, каковы недостатки доставки через HTMLmeta tag?

По разным причинам в нашем развертывании добавление CSP в заголовок HTML проще в управлении.

Answer 1

Похоже, что на этот вопрос уже ответили в комментариях, но ни у кого нет пары минут, чтобы написать ответ, поэтому я попробую сам.

Содержание-Доставка политики безопасности через ответ HTTP поддерживает некоторые дополнительные функции по сравнению с доставкой через метаэлемент HTML, например Content-Security-Policy-Report-Only * и report-uri , frame-ancestors и sandbox директивы .

Однако, если вам не нужно использовать какие-либо из этих функций, использование HTTP-заголовка не дает никаких преимуществ.

Обратите внимание, что при использовании пути HMTL метатег http-equiv должен появляться первым в заголовке, поскольку он применяется только к элементам, которые следуют за ним.