我注意到我正在研究的ASP MVC 5项目中的Content-Security-Policy标头,并且想知道默认值来自哪里?
我已经在web.config和applicationhost.config中搜索了Content-Security-Policy以及以下值:'default-src'self''unsafe-eval''unsafe-inline'data:; connect-src *; report-uri / csp-report-endpoint /”,但项目本身没有结果。
有人知道价值来自何处吗?
答案 0 :(得分:0)
也许它来自服务器设置? 在我接手的项目中,问题也发生了。在检查了代码以及生产版本和测试版本之间的差异之后,我发现测试版本没有响应CSP标头,而是响应生产剂量。我确认了服务器管理器,并且知道它是由服务器环境设置引起的。