我的 CSP 规则很简单/标准:
content-security-policy: default-src 'self' https: 'unsafe-inline' https://www.googleapis.com https://api.dropboxapi.com https://content.dropboxapi.com;img-src 'self' https: 'unsafe-inline' data:;base-uri 'self';block-all-mixed-content;font-src 'self' https: data:;form-action 'self';frame-ancestors 'self';object-src 'none';upgrade-insecure-requests
他们工作,但只有当通过
name:port
调用页面时,并且notIP地址。
tld:PORT
和localhost:PORT
都有效,但不是IP:PORT
尽管'self'
关键字在default-src
.
当页面被 IP 调用时,有没有办法让规则起作用,或者它本质上是不可能的?