我想使用Content-Security-Policy并尝试添加我的.htaccess。
问题:我使用Chrome插件检查了CSP正在运行但是没有找到。
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' *.facebook.com;frame-ancestors 'self' *.facebook.com;script-src 'strict-dynamic' 'nonce-rAnd0m123' 'unsafe-inline' http: https:;base-uri 'none';object-src 'none';"
</IfModule>
###DEFLATE###
<ifModule mod_deflate.c>
<filesMatch "\.(css|js|x?html?|php)$">
SetOutputFilter DEFLATE
</filesMatch>
</ifModule>
## EXPIRES CACHING ##
<IfModule mod_expires.c>
ExpiresActive on
ExpiresByType image/jpg "access plus 60 days"
</IfModule>
答案 0 :(得分:0)
问题在于PHP将标题设置为self,这意味着它忽略了.htaccess设置。
我必须使用PHP设置CSP:
header("Content-Security-Policy: default-src 'self' *.facebook.com;frame-ancestors 'self' *.facebook.com;script-src 'strict-dynamic' 'nonce-rAnd0m123' 'unsafe-inline' http: https:;base-uri 'none';object-src 'none'");