web – 为什么我的内容安全策略无处不在,但Safari

概述我已将我的安全策略定义为： default-src 'self'; script-src 'self'; frame-src 'self'; style-src 'self' 'unsafe-inline'; (我在几页的头部仍然有CSS). 我对Firefox或Chrome没有任何问题(IE还不支持CSP)但是,当我尝试在Safari中测试时,我得到一些错误,如： Refused to loa 我已将我的安全策略定义为：

default-src 'self'; script-src 'self'; frame-src 'self';  style-src 'self' 'unsafe-inline';

(我在几页的头部仍然有CSS).

我对firefox或Chrome没有任何问题(IE还不支持CSP)但是,当我尝试在Safari中测试时,我得到一些错误,如：

Refused to load style from 'http://localhost/styles/alliance.CSS' because of Content-Security-Policy....Refused to load image from 'http://localhost/images/Landing1.jpg' because of Content-Security-Policy....Refused to load script from 'http://localhost/Jquery/jquery-1.7.2.min.Js' because of Content-Security-Policy.

图像应该由default-src覆盖,其他两个列为“Self”,所以我不知道为什么Safari不接受我的图像和脚本.我没有Mac,所以我在windows上使用Safari(5.1.7).

有任何想法吗？谢谢！

解决方法 Safari 5在实现CSP方面略显落后. Safari 6要好得多,但我不认为它是针对windows发布的.我认为你只是看到了实施错误.如果适用于windows的WebKit nightlIEs,那么这可能是测试的一个很好的选择.

老实说,我不建议将X-WebKit-CSP标头提供给Safari 5. Safari 6,是的,但5有点太破碎而无法真正使用.

另请注意,您可以简化策略. script-src和frame-src都将回退到default-src. default-src’self’; style-src’self”unsafe-inline’应该具有相同的效果.

总结

以上是内存溢出为你收集整理的web – 为什么我的内容安全策略无处不在,但Safari全部内容，希望文章能够帮你解决web – 为什么我的内容安全策略无处不在,但Safari所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。