默认内容-安全-策略ASP MVC

Question

我注意到我正在处理的一个ASP MVC 5项目中有一个Content-Security-Policy标头，我想知道默认值是从哪里来的？

我在web.config和applicationhost.config上搜索了Content-Security-Policy和值：'default-src 'self‘'unsafe-eval’'unsafe-inline‘data:;connect-src *;report-uri /csp-report-endpoint/'，但项目本身没有结果。

有人知道价值从何而来吗？

Answer 1

也许它来自于服务器设置？在我的接管项目中，问题也会发生。在我检查了代码以及生产版本和测试版本之间的差异后，我发现测试版本不响应CSP报头，而是响应生产剂量。我确认了服务器管理器，知道它是由服务器环境设置引起的。