Http 内容安全策略不起作用
我正在将此标题添加到我的响应标题中:Http 内容安全策略不起作用,http,browser,http-headers,content-security-policy,Http,Browser,Http Headers,Content Security Policy,我正在将此标题添加到我的响应标题中: x-content-security-policy默认src'none' 我希望页面上不会加载css或图像,但所有内容都已加载。我做错了什么?我使用的是firefox,它对我有效。 这是我在回复中添加的标题: Content-Security-Policy: default-src 'none' 请尝试删除“x-”,并尝试使用其他浏览器。CSP标题现在至少有三种风格,并且不同浏览器版本的支持非常不同。我建议只使用最标准的一种(内容安全策略),最初使用仅报告
x-content-security-policy默认src'none'代码>
我希望页面上不会加载css或图像,但所有内容都已加载。我做错了什么?我使用的是firefox,它对我有效。
这是我在回复中添加的标题:
Content-Security-Policy: default-src 'none'
请尝试删除“x-”,并尝试使用其他浏览器。CSP标题现在至少有三种风格,并且不同浏览器版本的支持非常不同。我建议只使用最标准的一种(内容安全策略),最初使用仅报告模式(仅报告内容安全策略)。有关详细信息,请参阅。您还可以尝试一种“迭代”方法,使用Chrome和更新版本(V23和更新版本)的Firefox构建内容安全策略:
Content-Security-Policy: default-src 'none'
对于狩猎:
X-Webkit-CSP: default-src 'none'
对于较早版本的Firefox(第23版及更早版本):
抱歉-在IE中,只有沙盒
策略可以识别,并且只有在IE 10及更新版本中才能识别。在使用内容安全策略之前,您可以尝试包括标题集
:
Header set Content-Security-Policy:
哪个浏览器?不同的浏览器版本理解不同的标题名称。标题名称及其值之间缺少一个:
。让我们从浏览器中查看调试内容!我尝试使用res.setHeader(“X-Content-Security-Policy”,“sandbox‘允许相同来源’”)时,至少可以使用头文件;对于IE11。它允许所有其他域外部脚本。我还缺少什么吗?是的,它已经停止了,但作为一个开源项目提供
Header set Content-Security-Policy: