我为一家非营利组织维护一个小型网站。多个 .pdf 可在网站上查看。
我在当前版本的 Safari (v. 16.4)(在 macOS Ventura 下)遇到了 .pdf 显示问题,并且现在在 DuckDuckGo 和 Orion 等其他 WebKit 浏览器中也看到了它。
当网站CSP包含“style-src 'self';”时打开 .pdf(存储在网站目录中)的链接会导致 .pdf 的高度被严重截断为仅 154 像素。
开发人员控制台报告“拒绝应用样式表,因为它的哈希值、随机数或‘不安全内联’没有出现在内容安全策略的样式源指令中。”
更改 CSP 以包含“style-src 'self' 'unsafe-inline';”结果 .pdf 按预期显示。
macOS Catalina、Firefox 和 Google Chrome 下的 Safari 15.6.1 均按预期显示 .pdf,而无需向 style-src 添加“不安全内联”。
这是 WebKit 错误还是在浏览器内 .pdf 显示的实现中有意更改?
我知道在 style-src 中使用“unsafe-inline”的安全问题,如 CSP style-src: 'unsafe-inline' - is it worth it?
有什么替代方法可以避免我注意到的这个 .pdf 显示问题(假设它不是一个将被修复的错误)?