Mar*_*ham 5 safari web content-security-policy
我已将我的安全策略定义为:
default-src 'self'; script-src 'self'; frame-src 'self'; style-src 'self' 'unsafe-inline';
(我在几页的头部仍然有CSS).
我对Firefox或Chrome没有任何问题(IE还不支持CSP)但是,当我尝试在Safari中测试时,我得到一些错误,如:
Refused to load style from 'http://localhost/styles/alliance.css' because of Content-Security-Policy.
.
.
.
Refused to load image from 'http://localhost/images/Landing1.jpg' because of Content-Security-Policy.
.
.
.
Refused to load script from 'http://localhost/JQuery/jquery-1.7.2.min.js' because of Content-Security-Policy.
图像应该由default-src覆盖,其他两个列为"Self",所以我不知道为什么Safari不接受我的图像和脚本.我没有Mac,所以我在Windows上使用Safari(5.1.7).
有任何想法吗?谢谢!
Safari 5在实现CSP方面略显落后.Safari 6要好得多,但我不认为它是针对Windows发布的.我认为你只是看到了实施错误.如果适用于Windows的WebKit nightlies,那么这可能是测试的一个很好的选择.
不过,老实说,我不建议为X-WebKit-CSPSafari 5. Safari 6 提供标题,是的,但5有点太破碎了,不能真正使用.
另请注意,您可以简化策略.双方script-src并frame-src会回落到default-src.default-src 'self'; style-src 'self' 'unsafe-inline'应该有同样的效果.
| 归档时间: |
|
| 查看次数: |
4308 次 |
| 最近记录: |