那些遇到过的问题

Safari忽略了CSP现象

May*_*ora 8 safari content-security-policy

所以我为我的网络应用程序实现了CSP,它在Chrome中运行得非常好.nonce执行所有内联脚本; 那些没有它的人没有被执行.

但是在Safari中,这是我在控制台中看到的消息:

内容安全策略指令'script-src'的源列表包含无效源:''nonce-fbe23fb21d40c38e8df7c0a16357dd3ec4be86ca233cb41206ac5f897cf9a103''.它会被忽略.

标题: 

Content-Security-Policy script-src 'nonce-cb28e5c8a2b833169bb8d1fa686f659fed9b3bf8ea52b86916bcaf20a04b3209' 'self'
Run Code Online (Sandbox Code Playgroud)

没有内联脚本被执行,即使是nonce.

ore*_*ake 10

Safari尚不支持nonce(请告知本地webkit代表支持此功能)但Firefox和Chrome已实现向后兼容的标准行为.即,如果存在随机数,则'unsafe-inline'忽略.

发送两者'unsafe-inline'和你的随机数,你将得到所需的行为.Safari会抱怨"未知的来源价值",但它会按预期工作.

http://www.w3.org/TR/CSP2/#directive-script-src

  • @ nucc1如果在不使用随机数的情况下使用它,则会执行此操作,但是如果您的script-src中存在随机数或哈希值,则标准会忽略“ unsafe-inline”,因此在这种情况下就可以了。 (2认同)

归档时间:

查看次数:

2587 次

最近记录:

10 年,2 月 前
相关归档
角度素材和Safari浏览器 15
拒绝加载图片,因为它违反了内容 - 安全政策 - Cordova 11
防止HTML5拖动Ghost图像飞回 6
Chrome 是否违反了内容安全政策? 5
内容安全策略随机数不适用于事件处理程序属性 5
Safari MacOS 异物在 svg 内无法正确缩放 5
在个别路线上实施头盔 csp 3
Symfony 3 - 内容安全策略 3
jscolor 在引导模式中不起作用 3
如何正确缩放ipad safari上的页面?没有css参与 2
难疑归档
Flash CS4拒绝放手 2735
在HTML5 localStorage中存储对象 2386
数据库索引如何工作? 2335
如何在Notepad ++中格式化XML? 1661
INNER JOIN,LEFT JOIN,RIGHT JOIN和FULL JOIN之间有什么区别? 1602
如何递归计算目录中的所有代码行? 1536
SQL Server中的LEFT JOIN与LEFT OUTER JOIN 1514
为什么Dictionary优先于Hashtable? 1348
如何从主机获取Docker容器的IP地址? 1221
如何删除选择框的所有选项,然后添加一个选项并使用jQuery选择它? 1028