内容安全策略 - 儿童SRC

Question

我有以下问题：

在我oxid店我碰到下面的错误，当我尝试保存在某一个点：

未能进行

过程未知指令'child-src'。

我试过它在不同的服务器上，一切工作正常。我只取（发生故障的服务器上）的标题来看看在CSP，这是输出：

X-Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.nrw.de *.google.com *.twimg.com; style-src 'self' 'unsafe-inline' *.nrw.de *.twitter.com; font-src 'self' *.example.org; img-src data: *.example.org; child-src *.example.org *.nrw.de *.facebook.com *.facebook.de *.twitter.com *.google.com; frame-src *.example.org *.nrw.de *.facebook.com *.facebook.de *.twitter.com *.google.com; object-src 'none'; media-src *.example.org; 

content-security-policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.nrw.de *.google.com *.twimg.com; style-src 'self' 'unsafe-inline' *.example.org *.twitter.com; font-src *; img-src data: *.example.org; child-src *.example.org *.nrw.de *.facebook.com *.facebook.de *.twitter.com *.google.com; frame-src *.example.org *.nrw.de *.facebook.com *.facebook.de *.twitter.com *.google.com; object-src 'none'; media-src *.example.org; 

任何想法？需要更多信息？

在此先感谢

Answer 1

“儿童SRC”是在内容安全，政策的第2版引入了新的指令。请参阅http://www.w3.org/TR/CSP2/的规格

大多数浏览器现在支持v1，但并非全部支持v2。对于兼容性的详细信息请参见本页面 http://caniuse.com/#feat=contentsecuritypolicy2

浏览器应该忽略任何指示，他们不支持

你说你尝试了不同的服务器，并得到了不同的结果。你是使用相同的浏览器还是不同的浏览器？这可能是浏览器有所作为。