Internet Explorer IE 中内容安全策略 (CSP) 标头的替代方案是什么?

信息安全 内容安全策略 IE浏览器 框架
2021-09-04 10:03:31

正如内容安全策略文档和 CSP 站点上的“支持的浏览器”页面中所述,Internet Explorer 不支持 CSP。

那么,如果我们想在我们的应用程序中支持包括 IE 在内的所有支持的浏览器的 CSP,应该遵循什么方法呢?对于 IE,是否有任何替代 CSP(X-Content-Security-Policy 已弃用)的方法?

我观察到 Facebook.com 在 Chrome 中使用 CSP 标头,但在 IE 中没有使用 CSP 的任何替代方案。我遇到了可以用来代替 CSP 但不知道如何使用的 iframe 标头。

1个回答

MDN - 内容安全策略 (CSP) - 浏览器兼容性显示 MSIE 支持什么,不支持什么。总结一下:

  • MSIE 仅支持sandbox标志
  • MSIE 仅支持旧X-Content-Security-Policy标头。它是否被弃用并不重要 - MSIE 本身也被弃用。

有没有 CSP 的替代品

CSP 没有通用的替代方案。可以使用 CSP 中已知的某些部分来实现,X-Frame-Options但 CSP 的大部分功能在 MSIE 中根本不可用。

其它你可能感兴趣的问题
上一篇密码重置令牌应保持多长时间有效? 下一篇PHP eval() 的这种使用是否可以利用?