7
如果script-src: hash-source用於不理解hash-source的瀏覽器,瀏覽器會忽略所有的script-src:,甚至是所有的CSP嗎?或者它只會忽略hash-source部分?Content Security Policy是否兼容?
更一般地說,瀏覽器是否以前向兼容的方式實現CSP?
A
回答
2
oreoshake關於向後兼容性的陳述是準確的。確定匹配於section 6.6.2.2 of the CSP draft standard被描述的元件的方法:在hash-source或nonce-source存在下,unsafe-inline由符合用戶代理忽略:
源列表允許一個給定類型的所有行內的行爲,如果它包含關鍵字
[...]
如果表達所述隨機數源或散列源語法相匹配,返回「:在下面的算法描述-source表達「不安全內聯」,並且不覆蓋該表達不允許」。
此外,CSP 2指定的parsing a source list with unknown tokens過程如下:
用於通過對空間分割源列表中返回每個令牌,若令牌源表達的語法匹配,則令牌添加到源表達式的集合。
否則,應該忽略它。很明顯,作者意圖至少達到某種程度的向前兼容性。
2
不理解散列源元素的瀏覽器可能會在控制檯中發出警告,但它們可能並不如此。推薦的方法是使用用戶代理嗅探來檢測支持或發送'unsafe-inline'與您的散列源值。
理解哈希源的用戶代理將忽略'unsafe-inline',那些不會回退到'unsafe-inline'的用戶代理。所以它是倒退兼容。
相關問題
- 1. Content-Security-Policy打破console.log輸出
- 2. Chrome v.39和Content-Security-Policy HTTP標頭
- 3. 使用Content-Security-Policy Header安全嗎?
- 4. Content-Security-Policy和Content-Security-Policy-Report-Only標題可以共存而不會互相干擾
- 5. 如何使用content-security-policy元標記允許混合內容(http with https)?
- 6. 我應該使用Content-Security-Policy HTTP頭作爲後端API嗎?
- 7. phonegap + ionic使用Content-Security-Policy加載maps.googleapis.com,如何?
- 8. Content-Security-Policy如何與X-Frame-Options一起使用?
- 9. 如何爲Cordova Ios/Windows Phone/Android正確設置「content-security-policy」?
- 10. Content-Security-Policy在我的網站無法正常工作?
- 11. -webkit-text-security兼容性
- 12. 如何解決Chrome的XSS審覈員對Content-Security-Policy的誤判?
- 13. Content-Security-Policy指令'worker-src'在當前禁用的標誌後面實現
- 14. Content-Security-Policy在使用應用程序時突然停止工作
- 15. Content-Security-Policy指令'child-src'在當前被禁用的標誌後實現
- 16. xlrd和xlwt是否兼容?
- 17. Lombok是否與.getConstructor()兼容?
- 18. WebVR是否與Hololens兼容?
- 19. Overscroll(PullToRefresh)是否兼容2.2?
- 20. 是否Boo 100%C#兼容?
- 21. 是否與指數兼容
- 22. Autohotkey和Vim是否兼容?
- 23. Olingo4是否向後兼容?
- 24. 是否與chrome15不兼容?
- 25. jython和coldfusion是否兼容?
- 26. Octave是否與CobraToolbox兼容?
- 27. 是否與express.js 2.5.8兼容?
- 28. ERB和require_relative是否兼容?
- 29. jPlayer是否與PhoneGap兼容?
- 30. 是否兼容瀏覽器
感謝您的回覆。我意識到CSP向後兼容的事實,但我想知道它是否也向前兼容,或者如果使用瀏覽器未知的指令,將完全針對該瀏覽器破壞CSP規則。 –