邊緣忽略腳本-SCR在內容安全策略

Question

我有以下內容安全策略

value="default-src 'self' 
     style-src 'self' 'unsafe-inline'; 
     script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net; 
     img-src 'self' data: https://s3.amazonaws.com; 
     frame-src 'self' *.salesforce.com *.force.com;" 

這在Chrome和Firefox瀏覽器工作正常。在邊緣它沒有運行，因爲我們有一些內聯腳本（即onClick="foo()）。

我的理解是default-src設置默認值，而script-src應該覆蓋這些默認值。

有沒有人知道這是Edge中的一個bug還是以某種方式磨損了它？

Answer 1

原來，問題是，儘管這是我們的CSP看起來我們web.test.config的方式，變換提出以下到web.config中

value="default-src 'self'
   style-src 'self' 'unsafe-inline'; 
 
     script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net; 
   img-src 'self' data: https://s3.amazonaws.com;
   frame-src 'self' *.salesforce.com *.force.com;" 

基本上XDT替換CRLFs在值爲 ，這會導致Edge放棄處理CSP，因此您只能獲得第一行。

已提交錯誤。 https://connect.microsoft.com/IE/feedbackdetail/view/2272282/edge-stops-processing-content-security-policy-on-xd-xa