我是否正确使用X-Content-Security-Policy?

时间:2019-07-02 18:31:42

标签: html internet-explorer content-security-policy

我正尝试将我的内容安全策略用于Internet Explorer

这是我拥有的内容安全政策:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

这是我为X-Content-Security-Policy添加的内容

<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'">

当我使用MS Edge,Firefox或Chrome打开文档时,看到大量的内联样式警告(及其他)。但是我在IE中什么都看不到。而且我仍然可以在IE中的页面上运行脚本,但在我提到的其他浏览器上却无法执行(并且想阻止)。

这使我感到奇怪:我是否正确使用了X-Content-Security-Policy元标记?如果没有,我该如何修复我的标签?而且,在哪里可以找到X-Content-Security-Policy的文档?我搜索了X-Content-Security-Policy ...我什么都找不到。出现的事情是针对内容安全策略的

<!DOCTYPE html><html xmlns="http://www.w3.org/1999/xhtml"><head>

<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'"><meta http-equiv="Content-Security-Policy" content="default-src 'self'">

<script src="./jquery-3.3.1.min.js" type="text/javascript"></script>

<script>
alert('boo');
</script>
</head>
<body>
Hello World
</body>
</html>

1 个答案:

答案 0 :(得分:1)

IE10-11仅部分支持

CSP。您可以在browser compatibility中看到它在IE中不支持<meta>元素。 partial support意味着它仅通过使用X-Content-Security-Policy标头支持'sandbox'指令。有关更多详细信息,您还可以选中this thread

相关问题
最新问题