我在此标题中添加了我的回复标题:
x-content-security-policy default-src 'none';
我希望页面上不会加载css或图像,但所有内容都已加载。我做错了什么?
答案 0 :(得分:4)
对于Chrome及更新版本(v.23及更新版本)的Firefox:
Content-Security-Policy: default-src 'none'
对于Safari:
X-Webkit-CSP: default-src 'none'
对于旧版本的Firefox(v.23及更早版本):
X-Content-Security-Policy: default-src 'none'
抱歉 - 使用IE浏览器,只识别sandbox策略,并且仅在IE 10及更新版本中。
答案 1 :(得分:1)
我正在使用Firefox,它对我有用。 这是我在回复中添加的标题:
Content-Security-Policy: default-src 'none'
尝试删除“x-”,然后尝试使用其他浏览器。
答案 2 :(得分:0)
CSP标题现在至少有三种版本,并且浏览器版本之间的支持非常不同。我建议只使用最标准的(Content-Security-Policy),最初只使用仅报告模式(Content-Security-Policy-Report-Only)。有关详细信息,请参阅https://en.wikipedia.org/wiki/Content_Security_Policy#Status。您还可以尝试使用“迭代”方法使用http://cspbuilder.info/
构建内容安全策略答案 3 :(得分:0)
在使用Header set之前,您可以尝试添加Content-Security-Policy:,例如:
Header set Content-Security-Policy: