Così ho implementato CSP per la mia app Web e funziona perfettamente bene in Chrome. Tutti gli script inline con nonce
vengono eseguiti; e quelli senza esso non sono eseguiti.CSP nonce ignorato da Safari
In Safari tuttavia, questo è il messaggio che vedo nella console:
L'elenco di origine per contenuti la politica di sicurezza direttiva 'script src' contiene una fonte non valida: '' nonce-fbe23fb21d40c38e8df7c0a16357dd3ec4be86ca233cb41206ac5f897cf9a103' '. Sarà ignorato.
Intestazione:
Content-Security-Policy script-src 'nonce-cb28e5c8a2b833169bb8d1fa686f659fed9b3bf8ea52b86916bcaf20a04b3209' 'self'
Nessuno degli script in linea vengono eseguite, anche quelli con nonce.
se uso come CSP (non permettendo pericoloso-linea) nella mia app angolare, si è lasciare che gli eventi angolari come il lavoro ng clic? –
Non ho idea, ma se ng-click non funziona con CSP, è il problema di ng-click, non CSP. – oreoshake
Vale la pena sottolineare che, se possibile, è necessario evitare l'inline-in-line, in quanto elimina lo scopo dell'utilizzo di CSP in primo luogo. – nucc1