我正尝试将我的内容安全策略用于Internet Explorer
这是我拥有的内容安全政策:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'">
这是我为X-Content-Security-Policy添加的内容
<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'">
当我使用MS Edge,Firefox或Chrome打开文档时,看到大量的内联样式警告(及其他)。但是我在IE中什么都看不到。而且我仍然可以在IE中的页面上运行脚本,但在我提到的其他浏览器上却无法执行(并且想阻止)。
这使我感到奇怪:我是否正确使用了X-Content-Security-Policy元标记?如果没有,我该如何修复我的标签?而且,在哪里可以找到X-Content-Security-Policy的文档?我搜索了X-Content-Security-Policy ...我什么都找不到。出现的事情是针对内容安全策略的
<!DOCTYPE html><html xmlns="http://www.w3.org/1999/xhtml"><head>
<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'"><meta http-equiv="Content-Security-Policy" content="default-src 'self'">
<script src="./jquery-3.3.1.min.js" type="text/javascript"></script>
<script>
alert('boo');
</script>
</head>
<body>
Hello World
</body>
</html>
答案 0 :(得分:1)
CSP。您可以在browser compatibility中看到它在IE中不支持<meta>
元素。 partial support意味着它仅通过使用X-Content-Security-Policy标头支持'sandbox'指令。有关更多详细信息,您还可以选中this thread。