使用Content-Security-Policy-Report-Only时,Chrome中不会执行Eval()

时间:2013-03-07 14:32:11

标签: google-chrome content-security-policy

使用 Content-Security-Policy 的仅限报表模式时,Chrome不再执行eval()

对于以下示例,我希望获得2个报告(一个用于内联脚本,一个用于eval),还可以看到一个弹出窗口。但是只有2个报告显示在控制台中。

我是否使用CSP错误或Chrome中的CSP仅报告模式是否存在错误?

<!DOCTYPE html>
<html>
    <meta http-equiv="Content-Security-Policy-Report-Only"   content="default-src 'self'; report-uri /dummy.html"/>     
    <meta http-equiv="X-Content-Security-Policy-Report-Only" content="default-src 'self'; report-uri /dummy.html"/>     
    <meta http-equiv="X-WebKit-CSP-Report-Only"              content="default-src 'self'; report-uri /dummy.html"/>
    <head>
        <script>
            eval('alert(1);');  
        </script>
    </head>
</html>

1 个答案:

答案 0 :(得分:1)

我可以复制这个,我已经提交了https://bugs.webkit.org/show_bug.cgi?id=111867。我很快就会解决这个问题。这对我来说是直截了当的疏忽。对不起。

相关问题
最新问题