Почему файл web.config генерирует нераспознанную ошибку для небезопасного встраивания в CSP?

Question

Я попытался применить csp в файле web.config проекта веб-формы asp.net. Однако я получаю нераспознанную небезопасную встроенную ошибку.

<system.webServer>
<httpProtocol>
  <customHeaders>
    <add name="Content-Security-Policy" value=" 'unsafe-inline'" />.

Я попытался использовать default-src, safe, unsafe-eval в значении. все они бросают нераспознанные ошибки.

Не могли бы вы предоставить мне какой-либо ресурс, чтобы решить эту проблему?

asp.net webforms web-config content-security-policy penetration-testing

Источник

user7748618 02 ноя '18 в 00:14

1 ответ

Решение

Другие вопросы по тегам asp.net webforms web-config content-security-policy penetration-testing

user9200675 02 ноя '18 в 12:12 2018-11-02 12:12 · Accepted Answer · 2018-11-02 12:12

Вы видите эту ошибку, потому что указав 'unsafe-inline' без директивы недопустимое определение политики безопасности контента.

Допустимая состоит из одной или нескольких директив, за которыми следует значение, каждая из которых разделяется точкой с запятой.

Тот, что в вашем вопросе может выглядеть как ниже.
Обратите внимание на директиву default-src и его ценность 'unsafe-inline',

<add name="Content-Security-Policy" value="default-src 'unsafe-inline'" />

Смотрите эту ссылку с обзором директив и значений.