Mozilla Observatory 说我没有 CSP，但我有

Question

Mozilla Observatory 测试我的网站并说我没有实施内容安全政策，但我实施了。

看这里：https://observatory.mozilla.org/analyze.html?host=mailpenny.com

这里是否配置有误？

我的浏览器在开发过程中给了我 CSP 错误，我必须在网站运行之前修复这些错误，当我使用 Postman 执行 GET / 时，我可以在我的 Headers 中看到以下内容。

content-security-policy-report-only →default-src ânoneâ; connect-src 'self'; font-src 'self' fonts.gstatic.com; img-src 'self'; script-src 'self'; style-src 'unsafe-inline' 'self' fonts.googleapis.com,; report-uri https://payload.report-uri.io/r/default/csp/reportOnly

Answer 1

我看到两个可能是解释的原因：

您的 CSP header 在 "none" 周围包含无效字符（作为 default-src 的值）
它是 report-only header，因此它实际上并不能保护您的网站，它只会报告不遵守上述政策的内容

Answer 2

我有同样的问题，在我的例子中，我在 apache2 配置中有：

Header set Content-Security-Policy  " script-src 'self' https://code.jquery.com http://ajax.googleapis.com 'unsafe-inline' 'unsafe-eval';font-src http://fonts.googleapis.com;   "

但是 Mozilla 天文台说： 内容安全策略 (CSP) header 无法成功解析

Mozilla Observatory 说我没有 CSP，但我有

Mozilla Observatory says I don't have a CSP, but I do

content-security-policy