Question

Я попытался применить csp в файле web.config проекта веб-формы asp.net. Однако я получаю нераспознанную небезопасную встроенную ошибку.

<system.webServer>
<httpProtocol>
  <customHeaders>
    <add name="Content-Security-Policy" value=" 'unsafe-inline'" />.

Я попытался использовать default-src, safe, unsafe-eval в значении. все они выбрасывают нераспознанные ошибки.

Не могли бы вы предоставить мне какой-либо ресурс для решения этой проблемы?

pfx · Answer 1 · 02 ноября 2018

Вы видите эту ошибку, потому что указание 'unsafe-inline' без директивы не является допустимым определением политики безопасности контента.

Допустимая состоит из одной или нескольких директив, за которыми следует значение, каждая из которых разделяется точкой с запятой.

Тот, что в вашем вопросе может выглядеть следующим образом.
Обратите внимание на директиву default-src и ее значение 'unsafe-inline'.

<add name="Content-Security-Policy" value="default-src 'unsafe-inline'" />

См. справочник с обзором директив и значений.

Почему файл web.config выбрасывает нераспознанную ошибку для небезопасного встраивания в CSP?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.