ho definito la mia politica di sicurezza come:Perché il contenuto del lavoro la politica di sicurezza in tutto il mondo, ma Safari
default-src 'self'; script-src 'self'; frame-src 'self'; style-src 'self' 'unsafe-inline';
(ho ancora i CSS a capo di diverse pagine).
Non ho problemi con Firefox o Chrome (IE non supporta CSP ancora), ma, quando provo test in Safari, ho una serie di errori come:
Refused to load style from 'http://localhost/styles/alliance.css' because of Content-Security-Policy.
.
.
.
Refused to load image from 'http://localhost/images/Landing1.jpg' because of Content-Security-Policy.
.
.
.
Refused to load script from 'http://localhost/JQuery/jquery-1.7.2.min.js' because of Content-Security-Policy.
Le immagini dovrebbero essere coperti per impostazione predefinita-src e gli altri due sono elencati come "Self", quindi non so perché Safari non accetta le mie immagini e script. Non ho un Mac, quindi sto usando Safari su Windows (5.1.7).
Qualche idea? Grazie!
Grazie Mike. Avevo visto dei riferimenti a come Safari 6 implementava CSP e l'assenza di commenti allo stesso effetto per Safari 5 mi aveva fatto riflettere. Data la scarsità di utenti di Safari di Windows, sono propenso a ignorarlo ma aiuta ancora a sapere che sono il problema piuttosto che me. –
Grazie anche per le altre osservazioni. I pezzi "extra" erano rudimentali; Inizialmente non avevo fornito default-src e Chrome funzionava correttamente. Firefox, tuttavia, lo ha richiesto. –
Firefox ha ancora un po 'di lavoro da fare prima di essere completamente conforme alle specifiche 1.0, ma stanno facendo rapidi progressi. Prevedo che supporteranno l'intestazione "Content-Security-Policy" prefissata Soon ™, che renderà le cose un po 'più semplici. (Chrome dovrebbe supportare l'intestazione unprefixed in 25). –