1

当使用Content-Security-Policy的仅报告模式时,Chrome 不再执行eval()

对于以下示例,我希望获得 2 个报告(一个用于内联脚本,一个用于eval),并且还会看到一个弹出窗口。但只有 2 个报告显示在控制台中。

是我使用了错误的 CSP 还是 Chrome 中的 CSP 仅报告模式存在错误?

<!DOCTYPE html>
<html>
    <meta http-equiv="Content-Security-Policy-Report-Only"   content="default-src 'self'; report-uri /dummy.html"/>     
    <meta http-equiv="X-Content-Security-Policy-Report-Only" content="default-src 'self'; report-uri /dummy.html"/>     
    <meta http-equiv="X-WebKit-CSP-Report-Only"              content="default-src 'self'; report-uri /dummy.html"/>
    <head>
        <script>
            eval('alert(1);');  
        </script>
    </head>
</html>
4

1 回答 1

1

我可以复制这个,我已经提交了https://bugs.webkit.org/show_bug.cgi?id=111867。我很快就会修复。这是我的直接疏忽。对于那个很抱歉。

于 2013-03-08T17:37:40.953 回答