Question

是否可以在ASP.NET WebForm上使用CSP阻止Internet Explorer 11上的内联JavaScript？我知道IE 11不支持内容安全策略级别2，但它看到支持级别1.0。我尝试了很多方法，并没有明确的答案。我试过了：

Response.AddHeader（＆＃34; X-Content-Security-Policy＆＃34;，＆＃34; script-src＆＃39; none＆＃39;＆＃34;）;
Response.AddHeader（＆＃34; X-Content-Security-Policy＆＃34;，＆＃34; script-src＆＃39; self＆＃39;＆＃34;）;
Response.AddHeader（＆＃34; Content-Security-Policy＆＃34;，＆＃34; script-src＆＃39; self＆＃39;＆＃34;）;

它不能正常工作。

谢谢！阿尔伯特托雷斯

Answer 1

请参阅here - IE 11仅提供部分支持。

Internet Explorer 10-11中的部分支持仅指浏览器通过使用支持sandbox指令 X-Content-Security-Policy标题

但是，您可以尝试使用此sandbox指令。 Description here：

为请求的资源启用沙盒，类似于iframe 沙箱属性。沙箱应用相同的原始策略，阻止弹出窗口，插件和脚本执行被阻止。你可以保持沙箱值为空以保持所有限制

e.g。

X-Content-Security-Policy: sandbox