Поиск в Поддержке

Избегайте мошенников, выдающих себя за службу поддержки. Мы никогда не попросим вас позвонить, отправить текстовое сообщение или поделиться личной информацией. Сообщайте о подозрительной активности, используя функцию «Пожаловаться».

Learn More

Content Security Policy in Firefox

  • Нет ответов
  • 1 имеет эту проблему
  • 2 просмотра
more options

Hi, we have encountered with the CSP issue in Firefox:

We have the following CSP <meta> tag in our application:

<meta http-equiv="Content-Security-Policy" content="default-src 'self';

                  script-src  'self' 'unsafe-eval';
                  style-src 'self' 'unsafe-inline';
                  base-uri 'self';
                  frame-src 'self';
                  media-src 'self';
                  navigate-to 'self';
                  form-action 'self';
                  object-src 'none';
                  connect-src 'self'">

As you see, we did not specified 'unsafe-inline' nor in script-src, nor in default-src. Which means that inline scripts like <script>alert(1)</script> should not be allowed to execute. But it still works in Firefox and we get an alert popup.

In Chrome and Edge the policy works fine, and blocks the script execution.

Please assist on the issue.

With respect, Victorz

Для ответа на сообщения вы должны войти в свою учётную запись. Пожалуйста, задайте новый вопрос, если у вас ещё нет учётной записи.