CSP本地测试

Question

我需要对我们的网站做一些更改，因为我们的CSP阻止Safari访问它。另外，网站的整个安全评级，让我们说得好听一点，相当糟糕。现在，有没有办法在不部署到服务器的情况下在本地测试对CSP所做的更改？我尝试了ngrok，但似乎不起作用(不传输报头)。我在这方面是个新手，所以任何建议都将不胜感激！

Answer 1

您可以使用Fiddler来实现这一点。修改FiddlerScript并在OnBeforeResponse函数中插入以下代码：

    if (oSession.uriContains('<insert relevant part of url here>')){
        oSession.ResponseHeaders.Remove("Content-Security-Policy"); //If you want to replace an existing CSP
        oSession.ResponseHeaders.Add("Content-Security-Policy", "<csp value>");
    }     

另一种选择是部署Content-Security-Policy-Report-Only。在浏览器控制台中，您将看到所有违规行为都是错误，但实际上不会阻止任何内容。