Digamos que eu tenho esse cabeçalho definidomywebsite.com:

Content-Security-Policy: script-src self https://*.example.com

Eu sei que vai permitirhttps://foo.example.com ehttps://bar.example.com, mas permitiráhttps://example.com sozinho?

Olhando paraa especificação....

Hosts como exemplo.com (que corresponde a qualquer recurso no host, independentemente do esquema) ou * .exemplo.com (que corresponde a qualquer recurso no hostou qualquer um de seus subdomínios (e qualquer um dos subdomínios de seus subdomínios, etc.)

... parece que deveria permitirhttps://example.com. No entanto, eu encontrei vários sites diferentes (site 1, site 2, site 3, site 4) quetudo diz issohttps://example.com não está incluído. Qual e?