Um * .example.com para um cabeçalho de política de segurança de conteúdo também corresponde a example.com?
Digamos que eu tenho esse cabeçalho definidomywebsite.com
:
Content-Security-Policy: script-src self https://*.example.com
Eu sei que vai permitirhttps://foo.example.com
ehttps://bar.example.com
, mas permitiráhttps://example.com
sozinho?
Olhando paraa especificação....
Hosts como exemplo.com (que corresponde a qualquer recurso no host, independentemente do esquema) ou * .exemplo.com (que corresponde a qualquer recurso no hostou qualquer um de seus subdomínios (e qualquer um dos subdomínios de seus subdomínios, etc.)
... parece que deveria permitirhttps://example.com
. No entanto, eu encontrei vários sites diferentes (site 1, site 2, site 3, site 4) quetudo diz issohttps://example.com
não está incluído. Qual e?