Iva*_*n L 3 content-security-policy angular
我试图在仅报告模式下为 Angular 应用程序启用内容安全策略,但是当我尝试通过元标记注入它时,我在 Chrome (v64) 中收到一条不允许的消息。
<meta http-equiv="Content-Security-Policy-Report-Only" content="default-src 'self'" />
仅报告内容安全策略“default-src 'self'”是通过元素传递的,这是不允许的。该政策已被忽视。
我还尝试过 Edge (v41) 和 Firefox (v59),没有错误,但也没有控制台输出。我是否错过了配置步骤或者有解决方法吗?
策略Content-Security-Policy-Report-Only只能通过 HTTP 响应标头来指定。CSP规范明确禁止使用元素指定 if frommeta:
注意:元素
Content-Security-Policy-Report-Only内部不支持标头meta。report-uri、frame-ancestors和指令也不是sandbox。
除了使用 HTTP 响应标头指定它之外,没有其他解决方法。
| 归档时间: |
|
| 查看次数: |
4702 次 |
| 最近记录: |