0
我开发了一个新网站。在Chrome浏览器中,有一些关于'不安全内联'的例外。这是因为HTML中有inline javascript和inline样式。 我将X-Content-Security-Policy/Content-Security-Policy设置为允许内联脚本等等。但是对于内联脚本,其他定义的工作方式没有任何效果,例如为img-src设置url。内容安全策略停用
<meta http-equiv="X-Content-Security-Policy" content="default-src *; script-src 'self' 'unsafe-inline';img-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com;child-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com *.facebook.com;style-src 'self' 'unsafe-inline'">
我的问题是。有没有我可以允许的方式?为什么不安全的内联参数不起作用?我知道CSP是为了更好的安全性,但是我们有内联脚本/样式,这是代码购买,所以我们不能改变它。 为什么我的旧版页面不会影响这个Content-Security-Policy,而新版本是?我可以关闭整个CSP的东西吗?
我发现有趣的是模板没有例外,但是当我在网页上使用模板时,它是例外。怎么可能?这可能是一个服务器配置?我使用Adobe CQ 6.1。
问题与CSP我只是如果我不在公司的网络。
仅供参考X-Content-Security-Policy已弃用且没有实际应用,因为firefox/chrome不再支持它,并且旧版本的IE不支持您使用的指令 – oreoshake