无法识别的Content-Security-Policy指令

时间:2012-09-05 23:49:05

标签: google-chrome phpmyadmin content-security-policy

我注意到在更新到Google Chrome后(21.0.1180.89)我在开发者标签中收到了大量错误;特别是如果我访问我自己的phpMyAdmin网站。

对于跨站点脚本,存在所有相同的并且是某种安全性;有什么我可以解决的吗?

Unrecognized Content-Security-Policy directive 'allow'. 
Unrecognized Content-Security-Policy directive 'options'. 

2 个答案:

答案 0 :(得分:2)

allowoptions指令都是Mozilla对内容安全策略的原始定义的一部分。 Chrome实现了current W3C standard,它已经从Mozilla的原始提案中进行了一些更改。

  • allow已替换为default-src,并为其他CSP指令设置默认源列表。
  • options已替换为'unsafe-inline''unsafe-eval'指令中的script-srcstyle-src(带单引号)来源。

这两种旧式指令仍然可以在Firefox中使用X-Content-Security-Policy标头。如果网站提供带有WebKit前缀的标题(X-WebKit-CSP),则应使用当前标准。

请注意,WebKit已在trunk中实现了未加前缀的标头(Content-Security-Policy),它应该会在接下来的几个月内推广到基于WebKit的稳定浏览器。如果您尚未设置规范标题,那么现在是开始考虑它的好时机。 :)

答案 1 :(得分:2)

Chrome v 48.0.2564.116 m也有类似的错误 "无法识别的内容 - 安全 - 政策指令'框架 - 祖先'。" 但是在IE 11,FF和safari上工作得非常好。

这只是Chrome上的警告消息,对网站的功能没有影响。