为什么添加以下标头会导致 Firefox 在浏览器中呈现时只清空所有 style="" 属性?
context.HttpContext.Response.Headers.Add("Content-Security-Policy", "style-src-attr 'unsafe-inline'; script-src-elem 'self' 'unsafe-inline'; img-src 'self' data:; frame-ancestors 'self'");
Chrome 和 Edge 浏览器显示所有内容正确,这意味着样式属性的值未清除为“”。
【问题讨论】:
标签: asp.net firefox browser-security
您使用的指令和语法都是有效的 但根据内容安全政策3级规范,目前处于工作草案状态。
现代 Chrome 和 Edge 浏览器现在完全支持内容安全策略 2 级规范以及内容安全策略 3 级规范。虽然到目前为止,Firefox 对 Content Security Policy Level 2 和 Level 3 规范有部分支持,这就是 Chrome 和 Edge 浏览器显示所有内容正确但 Firefox 的原因。 (请更新您的 Firefox 版本,然后重新检查)。
https://caniuse.com/#search=content%20security%20policy%20level
仅供参考,如果您的浏览器支持,style-src-attr 可以与 style-src 结合使用。如果该指令不存在,用户代理将查找 style-src 指令,如果两者都不存在,则回退到 default-src 指令。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src-attr
回来回答,现在解决这个问题,您的内容安全策略标题应该如下所示,几乎所有浏览器都支持。
context.HttpContext.Response.Headers.Add("Content-Security-Policy","style-src 'unsafe-inline'; script-src 'self' 'unsafe-inline'; img-src 'self' data:; frame-ancestors 'self'");
更新:
这是 Mozilla 中的一个错误,十个月前已经有人报告过,可能会在新的更新中修复。
【讨论】:
首先我无法重现该问题。当我添加您的 Content-Security-Policy 时,Firefox 显示的内联样式很好(v 70.0.1,64 位)。
然后我用https://cspvalidator.org 测试了你的 CSP,它给出了以下错误
1:1:无法识别的指令名称:“style-src-attr”。
1:33:无法识别的指令名称:“script-src-elem”。
这是有道理的,因为根据网站https://content-security-policy.com/,这些属性不存在
所以 CSP 应该是
"style-src 'unsafe-inline'; script-src 'self' 'unsafe-inline'; img-src 'self' data:; frame-ancestors 'self'"
【讨论】: