IIS自定义标头“ Content-Security-Policy”被覆盖

时间:2019-05-03 12:37:11

标签: iis sharepoint content-security-policy response-headers

我当前遇到一个SharePoint Web应用程序的问题,其中所有网站都返回响应标头“ content-security-policy:default-src'self'; object-src'none'; form-action'self'“,这将导致无法使用Chrome或Firefox破坏网站视图,因为将不会应用样式,也不会执行Javascript。

控制台日志

Refused to execute inline script because it violates the following Content Security Policy directive: "default-src 'self'". 
Either the 'unsafe-inline' keyword, a hash ('sha256-WFRyoBrQbrYtLpGIdyBszDzxQni3b0V/wUirab0OhKM='), or a nonce ('nonce-...') is required to enable inline execution. 
Note also that 'script-src' was not explicitly set, so 'default-src' is used as a fallback.

仅当使用HTTPS寻址网站时,才会出现问题。我已经检查了IIS中的HTTP响应标头。未指定“内容安全策略”。如果我自己添加它,它将被覆盖并且不会在响应标头中发送。仅安装了两个解决方案,我检查过这些解决方案不会弄乱响应标题。

是否有人知道还有什么可以更改自定义响应标头并覆盖web.config中定义的标头?还是有其他方法可以更改内容安全策略?

1 个答案:

答案 0 :(得分:0)

我测试了通过更改web.config中的“ CustomHeaders”部分,编写自定义IIS模块(使用请求生命周期修改标头)以及使用URL重写工具编写其他规则来更改IIS响应标头的方法。 。什么都没用...

最后,我们发现有人扩展了防火墙,然后防火墙将添加新的标头并覆盖我对HTTPS响应的更改。谜团解决了:)