Я использую Webapi 2.0.Я добавил свой собственный заголовок в мой web.config для CSP в заголовке ответа.Если я передаю код JavaScript, API все еще позволяет мне сделать это.Не могли бы вы дать мне знать, как я могу предотвратить это?
Web.config:
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'none';script-src 'self' 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline';connect-src 'self' 'unsafe-eval';font-src 'self';img-src 'self' *.xyz.com" />
<add name="X-Content-Security-Policy" value="default-src 'none';script-src 'self' 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline';connect-src 'self' 'unsafe-eval';font-src 'self';img-src 'self' *.xyz.com" />
</customHeaders>