Http 内容安全策略不起作用_Http_Browser_Http Headers_Content Security Policy

Http 内容安全策略不起作用

http browser

Http 内容安全策略不起作用,http,browser,http-headers,content-security-policy,Http,Browser,Http Headers,Content Security Policy,我正在将此标题添加到我的响应标题中： x-content-security-policy默认src'none' 我希望页面上不会加载css或图像，但所有内容都已加载。我做错了什么？我使用的是firefox，它对我有效。这是我在回复中添加的标题： Content-Security-Policy: default-src 'none' 请尝试删除“x-”，并尝试使用其他浏览器。CSP标题现在至少有三种风格，并且不同浏览器版本的支持非常不同。我建议只使用最标准的一种（内容安全策略），最初使用仅报告

我正在将此标题添加到我的响应标题中：

x-content-security-policy默认src'none'
我希望页面上不会加载css或图像，但所有内容都已加载。我做错了什么？我使用的是firefox，它对我有效。
这是我在回复中添加的标题：
Content-Security-Policy: default-src 'none'

请尝试删除“x-”，并尝试使用其他浏览器。
CSP标题现在至少有三种风格，并且不同浏览器版本的支持非常不同。我建议只使用最标准的一种（内容安全策略），最初使用仅报告模式（仅报告内容安全策略）。有关详细信息，请参阅。您还可以尝试一种“迭代”方法，使用Chrome和更新版本（V23和更新版本）的Firefox构建内容安全策略：
Content-Security-Policy: default-src 'none'

对于狩猎：
X-Webkit-CSP: default-src 'none'

对于较早版本的Firefox（第23版及更早版本）：
抱歉-在IE中，只有沙盒
策略可以识别，并且只有在IE 10及更新版本中才能识别。
在使用内容安全策略之前，您可以尝试包括标题集
：
Header set Content-Security-Policy:

哪个浏览器？不同的浏览器版本理解不同的标题名称。标题名称及其值之间缺少一个：。让我们从浏览器中查看调试内容！我尝试使用res.setHeader（“X-Content-Security-Policy”，“sandbox‘允许相同来源’”）时，至少可以使用头文件；对于IE11。它允许所有其他域外部脚本。我还缺少什么吗？是的，它已经停止了，但作为一个开源项目提供
Header set Content-Security-Policy: