В настоящее время у меня есть сервер nginx, который отправляет заголовок Content-Security-Policy, однако я читал, что, по-видимому, IE поддерживает только «X-Content-Security-Policy».
Будет ли хорошей идеей отправлять заголовки Content-Security-Policy и X-Content-Security-Policy с запросами, или это приведет к конфликтам? Было бы лучше использовать условный оператор для отправки правильного заголовка для правильного браузера на основе пользовательского агента?
Поскольку пользовательские агенты (браузеры) игнорируют заголовки, которые они не понимают, до тех пор, пока эффект от заголовков одинаков, у вас не возникнет проблем, если они предоставят оба. Сделайте то, что сочтете более целесообразным. Лучшей практикой было бы вести себя условно на основе идентификации пользовательского агента, но я не могу придумать ни одной причины, по которой это действительно может быть необходимо.