Chrome v.39和Content-Security-Policy HTTP标头

时间:2014-11-21 14:27:46

标签: google-chrome http-headers content-security-policy

我们最近在新发布的Chrome v.39中发现了一个有趣的错误。

它刚刚与标准" Aw Snap坠毁!"如果iframe加载包含Content-Security-Policy HTTP标头的页面,则每个页面上都会显示iframe消息。这封锁了网站,因为我们托管了一些第三方广告。 从我发现的内容安全政策" header是W3C标准,谷歌Chrome用于支持v.25和v.38之间的版本。但从现在开始他们不会。

有谁知道这个问题的一个很好的实用解决方案?如果没有这种解决方法,有没有办法阻止Chrome崩溃?

2 个答案:

答案 0 :(得分:1)

如果你想支持Chrome 39/40,我发现在域前添加协议可以防止崩溃(在CSP 2.0中不需要它,但它比崩溃更好)。< / p>

如果你想支持Chrome 41,即使没有协议名称,它也不会崩溃。

希望这有帮助。

答案 1 :(得分:0)

为了解决这个问题,我们必须添加一个逻辑,将除了IE和Content-Security-Policy之外的所有内容发送给IE-Content-Security-Policy。这是丑陋的代码/解决方案,但至少它已经停止崩溃。