使用内容安全策略防止Internet 11上的内联JavaScript

Question

是否可以在Internet 11上使用CSP在ASP.NET WebForm上防止内联ASP.NET？我知道IE 11不支持内容安全策略级别2，但它看到了对1.0级的支持。我尝试了很多方法，但没有一个明确的答案。我试过：

• Response.AddHeader("X-Content-Security-Policy"，"script-src 'none'")；
• Response.AddHeader("X-Content-Security-Policy"，“脚本-src 'self'")；
• Response.AddHeader(“内容-安全-策略”、“脚本-src 'self'")；

这不管用。

谢谢!阿尔伯特·托雷斯

Answer 1

参见这里 -IE11只有部分支持.

Internet 10-11中的部分支持是指浏览器仅通过使用sandbox报头支持X-Content-Security-Policy指令。

但是，您可以尝试这个sandbox指令。这里的描述

为请求的资源启用沙箱，类似于iframe sandbox属性。沙箱应用相同的来源策略，防止弹出，插件和脚本的执行被阻止。可以将沙箱值保持为空，以保留所有限制。

例如：

X-Content-Security-Policy: sandbox