我至少90%确定以下内容是Chrome实施W3C's CSP standard后的结果,但我认为最好将其翻倍并确保
我目前正在为客户实施严格的内容安全政策,并且我在Chrome 66上遇到以下政策指令并发症:
Unrecognized Content-Security-Policy directive 'disown-opener'.
Unrecognized Content-Security-Policy directive 'reflected-xss'.
Unrecognized Content-Security-Policy directive 'referrer'.
同样,我确定这是一个标准问题(因为我使用MDN’s CSP documentation)。如果是这种情况,任何人都可以指示我参与竞争或替代指令吗?
答案 0 :(得分:1)
无法识别的内容 - 安全 - 政策指令' reflect-xss'
reflected-xss指令是一年多前的removed from the CSP spec。但您可以使用X-XSS-Protection标题获得与reflected-xss完全相同的效果。
无法识别的内容 - 安全 - 政策指令'推荐人'。
referrer directive was dropped a long time ago。请改用Referrer-Policy标题。
无法识别的内容 - 安全 - 政策指令' disown-opener'
在任何外部链接上使用rel=noopener。除了Edge之外,它是supported in all modern browsers。