我是否正确使用 X-Content-Security-Policy?

【问题标题】:Am I using X-Content-Security-Policy correctly?我是否正确使用 X-Content-Security-Policy?
【发布时间】:2019-07-02 18:31:42
【问题描述】:

我正在尝试将我的 Content-Security-Policy 用于 Internet Explorer

这是我拥有的内容安全策略:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

这是我为 X-Content-Security-Policy 添加的内容

<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'">

当我使用 MS Edge、Firefox 或 Chrome 打开文档时,我看到大量内联样式警告(和其他警告)。但我在 IE 中看不到任何内容。而且我仍然可以在 IE 中的页面上运行脚本,而在我提到的其他浏览器上我无法(并且想要阻止)。

所以这让我想知道:我是否正确使用了 X-Content-Security-Policy 元标记?如果没有,我该如何修复我的标签?另外,我在哪里可以找到 X-Content-Security-Policy 的文档?我在 X-Content-Security-Policy 上进行了搜索...我找不到任何东西。出现的事情是针对 Content-Security-Policy

<!DOCTYPE html><html xmlns="http://www.w3.org/1999/xhtml"><head>

<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'"><meta http-equiv="Content-Security-Policy" content="default-src 'self'">

<script src="./jquery-3.3.1.min.js" type="text/javascript"></script>

<script>
alert('boo');
</script>
</head>
<body>
Hello World
</body>
</html>

【问题讨论】:

    标签: html internet-explorer content-security-policy


    【解决方案1】:

    IE10-11 仅部分支持 CSP。您可以在browser compatibility 中看到,它不支持IE 中的&lt;meta&gt; 元素。而partial support 表示它只支持使用 X-Content-Security-Policy 标头的“沙盒”指令。更多详情,您也可以查看this thread

    【讨论】:

    • 谢谢你的回答,链接信息量很大
    猜你喜欢
    • 1970-01-01
    • 2015-09-05
    • 2017-03-15
    • 2021-04-13
    • 2015-09-09
    • 1970-01-01
    • 2013-05-03
    • 2022-01-21
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode