我正在使用Webapi 2.0。我在web.config中为响应标头中的CSP添加了自定义标头。如果我传递的是JavaScript代码,api仍允许我这样做。您能告诉我如何预防吗?
Web.config:
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'none';script-src 'self' 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline';connect-src 'self' 'unsafe-eval';font-src 'self';img-src 'self' *.xyz.com" />
<add name="X-Content-Security-Policy" value="default-src 'none';script-src 'self' 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline';connect-src 'self' 'unsafe-eval';font-src 'self';img-src 'self' *.xyz.com" />
</customHeaders>