Mozilla Observatory说我没有CSP,但我确实如此

时间:2016-08-30 13:53:17

标签: content-security-policy

Mozilla Observatory对我的网站进行测试,并表示我没有实施内容安全政策,但我确实如此。

见这里:https://observatory.mozilla.org/analyze.html?host=mailpenny.com

这是否存在配置错误?

我的浏览器在开发过程中向我提供了CSP错误,我必须在网站工作之前修复它,当我与Postman进行GET /时,我可以在我的标题中看到以下内容。

content-security-policy-report-only →default-src ânoneâ; connect-src 'self'; font-src 'self' fonts.gstatic.com; img-src 'self'; script-src 'self'; style-src 'unsafe-inline' 'self' fonts.googleapis.com,; report-uri https://payload.report-uri.io/r/default/csp/reportOnly

2 个答案:

答案 0 :(得分:2)

我认为有两个原因可能是解释的一部分:

  • 你的CSP标题包含无效字符"无" (作为default-src
  • 的值
  • 它是一个仅限报告的标题,因此它实际上并不保护您的网站,它只报告不尊重所述政策的内容

答案 1 :(得分:0)

我有同样的问题,在我的情况下,我有apache2配置:

Header set Content-Security-Policy  " script-src 'self' https://code.jquery.com http://ajax.googleapis.com 'unsafe-inline' 'unsafe-eval';font-src http://fonts.googleapis.com;   "

但是Mozilla天文台说: 无法成功解析内容安全策略(CSP)标头