Html 内容安全策略、Safari和脚本哈希_Html

Html 内容安全策略、Safari和脚本哈希

html

Html 内容安全策略、Safari和脚本哈希,html,Html,我在设置csp策略时遇到问题。我使用散列来允许某些内联脚本块（例如：//js）。它在Chrome浏览器中工作，在Firefox中几乎完美无瑕，但Safari却没有这么多：( 测试用例：内容安全策略：脚本src'sha256-0qss1xekcb2as4mffpmyeg1owydekmuiebuhwtwwaw='1 编写文件（“js作品”）；另一种方法是使用“nonce-…”，但结果是一样的我是否做错了什么，或者Safari中不支持csp哈希/nonce？由于Safari尚未实现CSP2，

我在设置csp策略时遇到问题。我使用散列来允许某些内联脚本块（例如：//js）。它在Chrome浏览器中工作，在Firefox中几乎完美无瑕，但Safari却没有这么多：(

测试用例：

内容安全策略：脚本src'sha256-0qss1xekcb2as4mffpmyeg1owydekmuiebuhwtwwaw='1
编写文件（“js作品”）；

另一种方法是使用“nonce-…”，但结果是一样的

我是否做错了什么，或者Safari中不支持csp哈希/nonce？

由于Safari尚未实现CSP2，因此将不安全的内联添加到列表似乎是安全的，如果列表上至少有一个哈希源Safari10已实现CSP2，则CSP2浏览器将忽略它，因为Safari尚未实现CSP2，它似乎是safe若要将不安全内联添加到列表中，如果列表上至少有一个哈希源Safari10已实现CSP 2，则CSP2浏览器将忽略它