OWASPは、ドラッグ アンド ドロップ スタイルのクリックジャッキング攻撃を回避するために、API 応答で使用することを推奨しています。Content-Security-Policy: frame-ancestors 'none'
ただし、CSP 仕様は、HTML ページがロードされた後、同じコンテキスト内の他の CSP ルールは効果なく破棄されることを示しているようです。これは、CSP がどのように機能するかについての私のメンタル モデルでは理にかなっていますが、OWASP がそれを推奨している場合、何かが欠けていることは確かです。
HTMLページがすでにロードされ、「メイン」CSPがすでに評価されているという事実の後、XHRリクエストのCSPヘッダーがどのようにセキュリティを向上させることができるかを誰かが説明できますか? それはブラウザでどのように機能しますか?