之前我在實作時有測試過CSP可以防止hacker inject javascript 可是昨日在測試時發現現在完全無法抓包javascript injection了，有人知道為什麼嗎？ 測試方法: $("#id").append("<script>alert('xss')</script>"); 先前結果: CSP report 目前測試結果: 顯示xss CSP header: Content-Security-Policy-Report-Only: default-src 'self'; img-src 'self' data:; child-src 'none';object-src 'none'; script-src 'self' 'unsafe-eval';style-src 'self' 'unsafe-inline';report-uri csp_report; 請問大大CSP協定是不是有做什麼更動，因為Chrome跟Firefox的反應都一樣，還是我哪裡 寫錯了。。。 煩請大大指教 手機排版傷眼先抱歉>< -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.14.114.36 ※ 文章網址: https://www.ptt.cc/bbs/Web_Design/M.1447402282.A.5A1.html