Chrome v.39和Content-Security-Policy HTTP标头

Question

我们最近在新发布的Chrome v.39中发现了一个有趣的bug。

它刚刚崩溃了，标准的"Aw Snap!“如果iframe加载了带有Content-Security-Policy HTTP标头的页面，则会在每个页面上显示带有iframe的消息。这屏蔽了网站，因为我们托管了一些第三方广告。从我发现的"Content-Security-Policy“头是一个W3C标准，Google Chrome在v.25和v.38版本之间支持。但从现在开始，他们不会这么做。

有没有人知道解决这个问题的好办法？有没有办法在没有这个变通的情况下防止Chrome崩溃？

Answer 1

如果你想支持Chrome39/40，我发现在域名前面添加协议可以防止崩溃(这在CSP 2.0中不是必需的，但比崩溃要好)。

如果你想支持Chrome41，即使没有协议名，它也不会崩溃。

希望这能有所帮助。

Answer 2

为了解决这个问题，我们必须添加一个逻辑，将X-Content-Security-Policy发送给除IE之外的所有人，并将Content-Security-Policy仅发送给IE。这是丑陋的代码/解决方案，但至少它停止了崩溃。