边缘忽略脚本-SCR在内容安全策略
问题描述:
我有以下内容安全策略边缘忽略脚本-SCR在内容安全策略
value="default-src 'self'
style-src 'self' 'unsafe-inline';
script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net;
img-src 'self' data: https://s3.amazonaws.com;
frame-src 'self' *.salesforce.com *.force.com;"
这在Chrome和Firefox浏览器工作正常。在边缘它没有运行,因为我们有一些内联脚本(即onClick="foo()
)。
我的理解是default-src
设置默认值,而script-src
应该覆盖这些默认值。
有没有人知道这是Edge中的一个bug还是以某种方式磨损了它?
答
原来,问题是,尽管这是我们的CSP看起来我们web.test.config的方式,变换提出以下到web.config中
value="default-src 'self'
 style-src 'self' 'unsafe-inline'; 

script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net; 
 img-src 'self' data: https://s3.amazonaws.com;
 frame-src 'self' *.salesforce.com *.force.com;"
基本上XDT替换CRLFs在值为 ,这会导致Edge放弃处理CSP,因此您只能获得第一行。
你能提供一个链接到你提交的错误吗? – Patrick
不得不ctrl + shift + t约30次,但我添加了链接:) –
感谢吨,我会确保这在内部获得更高的知名度。你能否在这里或包含演示网址的错误中添加评论? – Patrick