边缘忽略脚本-SCR在内容安全策略

Question

我有以下内容安全策略

value="default-src 'self' 
     style-src 'self' 'unsafe-inline'; 
     script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net; 
     img-src 'self' data: https://s3.amazonaws.com; 
     frame-src 'self' *.salesforce.com *.force.com;" 

这在Chrome和Firefox浏览器工作正常。在边缘它没有运行，因为我们有一些内联脚本（即onClick="foo()）。

我的理解是default-src设置默认值，而script-src应该覆盖这些默认值。

有没有人知道这是Edge中的一个bug还是以某种方式磨损了它？

Answer 1

原来，问题是，尽管这是我们的CSP看起来我们web.test.config的方式，变换提出以下到web.config中

value="default-src 'self'
   style-src 'self' 'unsafe-inline'; 
 
     script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net; 
   img-src 'self' data: https://s3.amazonaws.com;
   frame-src 'self' *.salesforce.com *.force.com;" 

基本上XDT替换CRLFs在值为 ，这会导致Edge放弃处理CSP，因此您只能获得第一行。

已提交错误。 https://connect.microsoft.com/IE/feedbackdetail/view/2272282/edge-stops-processing-content-security-policy-on-xd-xa