В этом сценарии у меня есть одностраничное приложение, позволяющее сказать: mysamplesite dot что-то.Это возвращает HTML в браузер.В html есть файлы javascript, которые затем загружаются браузером, а затем выполняется код файлов js, и из кода запускаются дополнительные вызовы AJAX.
Какой ответ от сервера должен иметь заголовки безопасности?(Content-Security-Policy, X-Frame-Options, X-XSS-Protection и т. Д.).
Я предполагаю, что только заголовок index.html должен иметь эти заголовки.Но я не уверен в этом.
Я нашел этот другой вопрос, но не думаю, что он отвечает на мой конкретный вопрос Какой сервер должен вернуть заголовок Access-Control-Allow-Origin?