0
我開發了一個新網站。在Chrome瀏覽器中,有一些關於'不安全內聯'的例外。這是因爲HTML中有inline javascript和inline樣式。 我將X-Content-Security-Policy/Content-Security-Policy設置爲允許內聯腳本等等。但是對於內聯腳本,其他定義的工作方式沒有任何效果,例如爲img-src設置url。內容安全策略停用
<meta http-equiv="X-Content-Security-Policy" content="default-src *; script-src 'self' 'unsafe-inline';img-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com;child-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com *.facebook.com;style-src 'self' 'unsafe-inline'">
我的問題是。有沒有我可以允許的方式?爲什麼不安全的內聯參數不起作用?我知道CSP是爲了更好的安全性,但是我們有內聯腳本/樣式,這是代碼購買,所以我們不能改變它。 爲什麼我的舊版頁面不會影響這個Content-Security-Policy,而新版本是?我可以關閉整個CSP的東西嗎?
我發現有趣的是模板沒有例外,但是當我在網頁上使用模板時,它是例外。怎麼可能?這可能是一個服務器配置?我使用Adobe CQ 6.1。
問題與CSP我只是如果我不在公司的網絡。
僅供參考X-Content-Security-Policy已棄用且沒有實際應用,因爲firefox/chrome不再支持它,並且舊版本的IE不支持您使用的指令 – oreoshake