当我从我的网站打开*.docx文件并按“返回”时,Safari会将CSP更改为default-srcx-apple-ql-id: 'unsafe-inline'。我用window.location.href = url;打开它。
网站使用Angular和Kendo UI。两者都使用不安全的eval(可以使用ngCsp指令将其关闭为角度,但我找不到相同的剑道解决方案)。
我尝试添加<meta http-equiv="Content-Security-Policy" content="default-src * 'unsafe-inline' 'unsafe-eval'">和相同的响应标头,但它没有帮助。
如何强制Safari使用正确的CSP?