边缘忽略内容安全策略中的脚本-src

Question

我有以下内容安全策略

value="default-src 'self'
       style-src 'self' 'unsafe-inline'; 
       script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net; 
       img-src 'self' data: https://s3.amazonaws.com;
       frame-src 'self' *.salesforce.com *.force.com;"

这在Chrome和Firefox中运行得很好。在边缘中，它没有运行，因为我们有一些内联脚本(即onClick="foo())。

我的理解是default-src设置了缺省值，script-src应该覆盖这些默认值。

有没有人知道这是Edge中的一个bug，还是我以某种方式把它搞砸了？

Answer 1

问题是，尽管CSP在我们的web.test.config中是这样的，但是转换会将以下内容放入web.config中

Value=“默认-src 'self‘

风格-src 'self‘’不安全-内联‘；

   script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net; 
           img-src 'self' data: https://s3.amazonaws.com;
           frame-src 'self' \*.salesforce.com \*.force.com;"

Basically the XDT replaces the CRLFs in the value with 

，这将导致Edge放弃处理CSP，因此您只能得到第一行。

错误被提交了。https://connect.microsoft.com/IE/feedbackdetail/view/2272282/edge-stops-processing-content-security-policy-on-xd-xa