我在设置csp策略时遇到问题。我使用哈希来允许某些内联脚本块(例如< script> // js< / script>)。它适用于Chrome,在Firefox中几乎完美无缺,但Safari并非如此:(
测试用例:
Content-Security-Policy: script-src 'sha256-0Qss1xEkcb2As4MFFFPMYEg1OWydEkMuiEBUHWtwWAw='
<!DOCTYPE html>
<html lang="en">
<body>
<script>document.write('js works');</script>
</body>
</html>
另一种方法是使用&#39; nonce -...&#39;,但结果是相同的。
我是做错了还是在Safari中不支持csp hash / nonce?