Будут ли работать корректно 2 Content-Security-Policy заголовка?

Question

[riddlr]

У меня приложение, которое делает серверный рендеринг. Кроме того. оно проксируется через nginx.

Я сделал настройки CSP в nginx, но проблема в том, что приложение (точнее фреймворк) ижнектит свои скрипты в верстку, поэтому мне надо использовать hash, который может предоставить только приложение. Я настроил заголовки CSP в приложении (касательно script-src), но теперь у меня примерно такая картина

Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; media-src 'self'; frame-src 'self'; font-src 'self'; connect-src 'self' ws://node.server; form-action 'self'; manifest-src 'self'
Content-Security-Policy: script-src 'self' 'unsafe-eval' 'sha256-DnpPdT3fUiAk5dgay78q+v3W/A6ccSKg4URdsAI4NvM='

Будет ли это корретно работать? Суммирует ли браузер эти заголовки?

И еще вопрос - как протестироват все на корректную работу?

Answer 1

[Dimonchik]

натощак только один пирожок

Comments

[riddlr]

Т.е. типо не будет? Вообще я проверил, работает странно

[Dimonchik]

ну набор зачем-то ж разноплановый дан

[riddlr]

dimonchik2013, не понял? Какой набор? Мой вопрос, можно ли части этого заголовка отправлять в нескольких или нет.

[Dimonchik]

два одинаковых хидер нейма - только через запятую в одной строке, две строки нельзя

[riddlr]

dimonchik2013, тут написано что можно https://developer.mozilla.org/en-US/docs/Web/HTTP/...

Но у меня почему-то работает некорректно.