未被识别的内容安全策略指令: disown-opener，反射-xss，referrer

Question

我至少90%肯定以下是Chrome实现W3C的CSP标准的结果，但我认为最好是加倍，并确保。

我目前正在为客户端实现严格的内容安全策略，并且在Chrome 66上遇到了以下策略指令复杂性：

Unrecognized Content-Security-Policy directive 'disown-opener'.
Unrecognized Content-Security-Policy directive 'reflected-xss'.
Unrecognized Content-Security-Policy directive 'referrer'.

同样，我确信这是一个标准问题(因为我使用的是MDN的CSP文档)。如果是这样的话，有人能指示我去竞争或替代指令吗？

Answer 1

未识别的内容-安全性-策略指令‘反射-xss’

2016年，reflected-xss的指令是从CSP规范中删除。但是您可以使用X-XSS-Protection头来获得与reflected-xss完全相同的效果。

未识别的内容-安全性-策略指令“引用者”。

指令很久以前就被撤销了。改用Referrer-Policy头。

未被识别的内容-安全性-策略指令“不承认-打开器”

在任何外部链接上使用rel=noopener。我是所有现代浏览器都支持。