我已经为我们的网站创建了内容安全策略,但我想先试用它,看看它是否会导致任何问题,所以我使用了仅报告标题并添加了报告 uri 指令。
标头名称 X-WebKit-CSP-Report-Only 在基于 Webkit 的浏览器中正常工作,但 X-Content-Security-Policy-Report-Only 或Content-Security-Policy-Report-Only在 Firefox(版本 15)中均无效。X-Content-Security-Policy 有效,将违规报告发送到我的 report-uri 指令中指定的 URL。但是,这也实现了我还不想做的政策。有没有其他人遇到过这个?