Я пытаюсь добавить Content-Security-Policy в IIS на сервере Windows 2019. Я писал что-то подобное, но обнаружил, что иду по неправильному пути. В IIS я перехожу к заголовкам HTTP-ответа, нажимаю [Добавить] и помещаю «Content-Security-Policy» в имя и «default-src 'self';» в значении. Но когда это сохраняется в IIS, ни один из встроенных сценариев или стилей не работает, и на страницах возникает беспорядок.
Я нашел примеры и объяснения на
https://content-security-policy. com, который предоставляет описание и правильный синтаксис, позволяющий не только использовать встроенный CSS, но и скрипты, изображения и т. д. с сервера:
Код: Выделить всё
"The default-src directive defines the default policy for fetching resources such as JavaScript, Images, CSS, Fonts, AJAX requests, Frames, HTML5 Media."
EXAMPLE DEFAULT-SRC POLICY
default-src 'self' cdn.example.com;
"default-src 'self' Allows loading resources from the same origin (same scheme, host and port)."
Итак, в IIS я изменил Content-Security-Policy следующим образом:
Но мои веб-страницы по-прежнему игнорируют стили и скрипты! Что я делаю не так в IIS или, может быть, я просто пока не понимаю, как это должно работать? Похоже, что добавление этого значения Content-Security-Policy должно разрешить использование сценариев и стилей с одного и того же сервера. Так почему бы и нет?
Подробнее здесь:
https://stackoverflow.com/questions/786 ... icy-in-iis
Мобильная версия