Edge忽略内容安全策略

时间:2016-01-22 19:02:26

标签: microsoft-edge content-security-policy

我有以下内容安全政策

value="default-src 'self'
       style-src 'self' 'unsafe-inline'; 
       script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net; 
       img-src 'self' data: https://s3.amazonaws.com;
       frame-src 'self' *.salesforce.com *.force.com;"

这在Chrome和Firefox中运行良好。在Edge中它没有运行,因为我们有一些内联脚本(即onClick="foo())。

我的理解是default-src设置了默认值,script-src应该覆盖这些默认值。

有没有人知道这是Edge中的错误,还是我以某种方式破坏了它?

1 个答案:

答案 0 :(得分:4)

原来问题是虽然这是我们的CSP在web.test.config中的样子,但转换会将以下内容放入web.config

value="default-src 'self'
           style-src 'self' 'unsafe-inline'; 

       script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net; 
           img-src 'self' data: https://s3.amazonaws.com;
           frame-src 'self' *.salesforce.com *.force.com;"

基本上,XDT用值替换值中的CRLF ,这会导致Edge放弃处理CSP,因此您只能获得第一行。

错误提交。 https://connect.microsoft.com/IE/feedbackdetail/view/2272282/edge-stops-processing-content-security-policy-on-xd-xa