內容安全政策與iOS客戶端破壞網站

Question

我最近開始在現有網站上使用CSP頭文件，並且它似乎對大多數用戶都正常工作，但我現在已收到網站未加載iOS的報告（Safari和Chrome），並且還可以確認我的尊貴的iPad無法加載該網站。

的 「違反-指令」 被報告爲：

"script-src 'self' 'nonce-sh7cn3n6shh36sa1' cdn.jsdelivr.net ..other uris 

即相當標準。

我環顧四周，發現類似問題報告with iframes和web sockets的報告，但我的網站不使用這兩種標準HTML + Javascript中的任何一種。

的CSP的全部是：

Header set Content-Security-Policy-Report-Only "default-src 'self'; \ 
    script-src 'self' 'nonce-sh7cn3n6shh36sa1' cdn.jsdelivr.net \ 
       oss.maxcdn.com \ 
       ajax.googleapis.com \ 
       cdnjs.cloudflare.com \ 
       www.google-analytics.com; \ 
    style-src 'self' 'unsafe-inline' \ 
       cdn.jsdelivr.net \ 
       cdnjs.cloudflare.com \ 
       maxcdn.bootstrapcdn.com; \ 
    font-src 'self' maxcdn.bootstrapcdn.com; \ 
    img-src 'self' data: www.google-analytics.com www.paypalobjects.com; \ 

這裏有什麼最佳做法？有什麼方法可以確保CSP與所有瀏覽器和操作系統兼容（如安全子集？）。

我想使用它，但顯然它是相當有問題的不知道可以使用什麼。需要一個「W3C CSP兼容性測試」或類似的...

Answer 1

這是因爲你的source expressions缺乏一個計劃：Safari要求他們。
至於Chrome，作爲iOS上的所有瀏覽器，它只是使用Safari引擎的包裝。