使用内容安全策略阻止Internet Explorer 11上的内联JavaScript

是否可以在ASP.NET WebForm上使用CSP防止Internet Explorer 11上的内联JavaScript？我知道IE 11不支持内容安全策略2级，但它看到支持级别1.0。我尝试了很多方法，但没有明确的答案。我尝试过：使用内容安全策略阻止Internet Explorer 11上的内联JavaScript

Response.AddHeader（“X-Content-Security-Policy”，“script-src'none'”）;
Response.AddHeader（“X-Content-Security-Policy”，“script-src'self'”）;
Response.AddHeader（“Content-Security-Policy”，“script-src'self'”）;

它不工作。

谢谢！ Albert Torres

来源

2017-03-09 Albert Torres

请参阅here - IE 11只有部分支持。在Internet Explorer 10-11

部分支持是指浏览器只使用 X-Content-Security-Policy头

但是配套指令，你可以试试这个指令。 Description here：

为请求的资源启用一个类似于iframe 沙箱属性的沙箱。沙箱应用了相同的来源策略，阻止弹出窗口，插件和脚本执行被阻止。您可以保留沙盒值为空以保留所有限制

例如，

X-Content-Security-Policy: sandbox

来源

2017-03-10 16:02:03 SilverlightFox

是沙箱的作品，但阻止所有脚本，我只想阻止内联脚本。所以我想答案是Internet Explorer 11不能阻止使用内容安全策略的内联脚本？ –

不，你没有得到任何精细的控制。 'allow-scripts'是可选的，但是它将允许所有的脚本。 – SilverlightFox

使用内容安全策略阻止Internet Explorer 11上的内联JavaScript

回答

相关问题