我注意到在更新到Google Chrome后(21.0.1180.89)我在开发者标签中收到了大量错误;特别是如果我访问我自己的phpMyAdmin网站。
对于跨站点脚本,存在所有相同的并且是某种安全性;有什么我可以解决的吗?
Unrecognized Content-Security-Policy directive 'allow'.
Unrecognized Content-Security-Policy directive 'options'.
答案 0 :(得分:2)
allow
和options
指令都是Mozilla对内容安全策略的原始定义的一部分。 Chrome实现了current W3C standard,它已经从Mozilla的原始提案中进行了一些更改。
allow
已替换为default-src
,并为其他CSP指令设置默认源列表。options
已替换为'unsafe-inline'
或'unsafe-eval'
指令中的script-src
和style-src
(带单引号)来源。这两种旧式指令仍然可以在Firefox中使用X-Content-Security-Policy
标头。如果网站提供带有WebKit前缀的标题(X-WebKit-CSP
),则应使用当前标准。
请注意,WebKit已在trunk中实现了未加前缀的标头(Content-Security-Policy
),它应该会在接下来的几个月内推广到基于WebKit的稳定浏览器。如果您尚未设置规范标题,那么现在是开始考虑它的好时机。 :)
答案 1 :(得分:2)
Chrome v 48.0.2564.116 m也有类似的错误 "无法识别的内容 - 安全 - 政策指令'框架 - 祖先'。" 但是在IE 11,FF和safari上工作得非常好。
这只是Chrome上的警告消息,对网站的功能没有影响。