м, у меня установлен этот заголовокmywebsite.com:

Content-Security-Policy: script-src self https://*.example.com

Я знаю, что это позволитhttps://foo.example.com а такжеhttps://bar.example.com, но позволит ли этоhttps://example.com в одиночестве?

Смотря наспецификация....

Хосты, такие как example.com (который соответствует любому ресурсу на хосте, независимо от схемы) или * .example.com (который соответствует любому ресурсу на хостеили же любой из его поддоменов (и любой из поддоменов его поддоменов и т. д.)

... кажется, что это должно позволить простойhttps://example.com, Тем не менее, я нашел несколько разных сайтов (сайт 1, сайт 2, сайт 3, сайт 4) тотвсе скажи этоhttps://example.com не входит Что это?