Я добавляю в мой заголовок ответа этот заголовок:Содержание политики безопасности не работает
x-content-security-policy default-src 'none';
Я бы ожидать не CSS или изображения не должны быть загружены на странице, но все загружается. Что я делаю не так?
Я использую firefox, и он работает для меня. Это заголовок, я добавляю в ответ:
Content-Security-Policy: default-src 'none'
Попытка удалить «x-», и попробуйте с другими браузерами.
Заголовки CSP теперь имеют как минимум три варианта, а поддержка браузеров очень отличается. Я бы рекомендовал использовать только самую стандартную (Content-Security-Policy), первоначально в режиме только для отчетов (Content-Security-Policy-Report-Only). См. https://en.wikipedia.org/wiki/Content_Security_Policy#Status. Кроме того, можно попробовать "итеративный" подход к построению политики безопасности контента с использованием http://cspbuilder.info/
Для Chrome и более новые версии Firefox (ст 23 и новее.):
Content-Security-Policy: default-src 'none'
Для Safari:
X-Webkit-CSP: default-src 'none'
Для более старых версий Firefox (ст 23 и старше.):
X-Content-Security-Policy: default-src 'none'
К сожалению - с IE, признается только политика sandbox, и это только в IE 10 и новее.
Я попытался с res.setHeader («X-Content-Security-Policy», «sandbox» allow-same-origin »); для IE11. Это позволяет использовать все остальные внешние скрипты домена. Любая вещь, которую я пропускаю? – akashpatra
Вы можете попробовать в том числе Header set перед использованием Content-Security-Policy: Как это:
Header set Content-Security-Policy:
Какой браузер? Различные версии браузера понимают разные имена заголовков. Между заголовком и его значением отсутствует ':'. – oreoshake
Давайте посмотрим содержимое отладки в вашем браузере! Заголовки, по крайней мере, были бы полезны –