内容安全策略停止内联脚本执行,尽管仅报告模式
Content Security Policy stops inline script execution, in spite of report-only mode
我有一个具有 'Content-Security-Policy-Report-Only' 模式和 report-uri 的 CSP。我有一个 CSP 禁止的内联 JavaScript 运行ning。我的理解是,在仅报告模式下,JavaScript 仍将被允许 运行,但会报告给 report-uri link。它确实记录在 report-uri link 中,但它也会阻止页面加载,并在 Chrome 控制台上显示以下错误:“[仅报告] 拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self'”。”。为什么要在 'Report-only' 模式下强制执行 CSP?谢谢
这似乎发生在我设置 CSP 以及 Header 'Header set Set-Cookie: HttpOnly; Apache 2.2.3 中的 SameSite=Strict'。我删除了这个 header,CSP 在仅真实报告模式下工作。
我有一个具有 'Content-Security-Policy-Report-Only' 模式和 report-uri 的 CSP。我有一个 CSP 禁止的内联 JavaScript 运行ning。我的理解是,在仅报告模式下,JavaScript 仍将被允许 运行,但会报告给 report-uri link。它确实记录在 report-uri link 中,但它也会阻止页面加载,并在 Chrome 控制台上显示以下错误:“[仅报告] 拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self'”。”。为什么要在 'Report-only' 模式下强制执行 CSP?谢谢
这似乎发生在我设置 CSP 以及 Header 'Header set Set-Cookie: HttpOnly; Apache 2.2.3 中的 SameSite=Strict'。我删除了这个 header,CSP 在仅真实报告模式下工作。