Warum kommt der Content Security Policy Arbeit überall, aber Safari

Question

ich meine Sicherheitspolitik definiert als:

default-src 'self'; script-src 'self'; frame-src 'self'; style-src 'self' 'unsafe-inline'; 

(I CSS an der Spitze von mehreren Seiten haben nach wie vor).

Ich habe keine Probleme mit Firefox oder Chrome (IE nicht unterstützt CSP noch) nicht, aber wenn ich Tests in Safari versuchen, erhalte ich eine Reihe von Fehlern wie:

Refused to load style from 'http://localhost/styles/alliance.css' because of Content-Security-Policy. 
. 
. 
. 
Refused to load image from 'http://localhost/images/Landing1.jpg' because of Content-Security-Policy. 
. 
. 
. 
Refused to load script from 'http://localhost/JQuery/jquery-1.7.2.min.js' because of Content-Security-Policy. 

Die Bilder abgedeckt werden sollte Standardmäßig - src und die anderen beiden sind als "Selbst" aufgeführt, daher weiß ich nicht, warum Safari meine Bilder und Skripts nicht akzeptiert. Ich habe keinen Mac, deshalb verwende ich Safari unter Windows (5.1.7).

Irgendwelche Ideen? Vielen Dank!

Answer 1

Safari 5 ist bei der Implementierung von CSP etwas zurückgeblieben. Safari 6 ist viel besser, aber ich glaube nicht, dass es für Windows veröffentlicht wurde. Ich denke, Sie sehen nur Implementierungsfehler. Wenn WebKit-Nachtfenster für Windows verfügbar sind, könnte dies eine gute Alternative zum Testen sein.

Ehrlich gesagt, würde ich nicht empfehlen, die X-WebKit-CSP Header zu Safari 5 zu dienen. Safari 6, ja, aber 5 ist ein bisschen zu kaputt, um wirklich zu verwenden.

Beachten Sie auch, dass Sie Ihre Richtlinie vereinfachen können. Sowohl script-src als auch frame-src werden auf default-src zurückfallen. default-src 'self'; style-src 'self' 'unsafe-inline' sollte den gleichen Effekt haben.