为什么在Chrome/Edge中允许使用CSP script-src指令，而在Firefox中不允许？

Question

我有一个非常简单的CSP头，请注意script-src指令：default-src 'none'; script-src 'self'; script-src-elem 'self' https://www.example.com 'unsafe-inline'; style-src https://www.example.com 'unsafe-inline'; manifest-src 'self'; frame-ancestors 'self'; worker-src 'self'; connect-src 'self'; object-src 'none'; img-src 'self' data:;

标头在Chrome和Edge中都被接受，但在Firefox中加载应用程序时，会生成以下冲突：Content Security Policy: The page’s settings blocked the loading of a resource at inline (“script-src”).

为什么Firefox不允许上述指令？

Answer 1

Firefox确实not support了script-src-elem指令，因此它使用了不允许'unsafe-inline'的script-src 'self';。

Chrome支持script-src-elem指令，因此它使用允许'unsafe-inline'的script-src-elem 'self' https://www.example.com 'unsafe-inline';。

我没有可以测试的Edge浏览器，但它是基于Chromium的，所以应该支持script-src-elem。