Ответ 1
Заголовок политики безопасности содержимого - это белый список доверенных источников.
Список default-src - это список, используемый всеми другими списками *-src. Если его нет, по умолчанию используется default-src: *, что означает, что "все содержимое разрешено из любого места", что не обеспечивает никакой защиты от XSS.
Поэтому вы должны начать с
-
default-src none, чтобы все содержимое было запрещено, или -
default-src 'self', так что разрешено только содержимое вашего домена.
После этого другие *-src могут быть заменены по мере необходимости. Например, следующие доверяют себе для всего, кроме изображений, и изображения разрешены только с example.com(но не от "я" ):
default-src 'self'; img-src example.com;
В вашем вопросе вы указываете default-src * 'unsafe-inline' 'unsafe-eval';, который может вызвать проблему, поскольку * уже подразумевает 'unsafe-inline' и 'unsafe-eval'. Это как сказать "разрешить все и разрешить встроенный и разрешить eval".
Также обратите внимание, что CSP поддерживается через X-Content-Security-Header в IE >= 8.
Источники: