Если script-src: hash-source используется в браузере, который не понимает hash-source, будет ли браузер игнорировать все script-src: или даже все CSP? Или он будет игнорировать только часть hash-source?Является ли политика безопасности контента совместимой?
В целом, браузеры реализуют CSP в прямом режиме?
Что такое ореошак, заявленный о обратной совместимости, является точным. Процесс определения элемента совпадение, описанный в section 6.6.2.2 of the CSP draft standard: в присутствии hash-source или nonce-source, unsafe-inline игнорируются соответствующими пользовательскими агентами:
Список источников позволяет всему инлайн поведения данного типа, если оно содержит ключевое слово -source выражение «небезопасная-рядные», и не отменяет такое выражения, как описано в следующем алгоритме:
[...]
Если выражение соответствует грамматике нонса-источник или хэш-код, возвращение " Не позволяет".
Кроме того, СНТ 2 определяет процесс parsing a source list with unknown tokens следующим образом:
Для каждых маркеров, возвращенных исходный список расщепления на пространствах, если маркер соответствует грамматике для источника экспрессии, добавьте маркер набор исходных выражений.
В противном случае его следует игнорировать. Настолько ясно, что авторы предполагали, по крайней мере, определенный уровень передовой совместимости.
Браузеры, которые не понимают элементы источника хэша, могут вызывать предупреждение в консоли, но они могут и не так. Рекомендуемый подход заключается в том, чтобы использовать обнюхивание пользовательского агента для обнаружения поддержки или отправить как 'unsafe-inline' с вашими значениями хэш-значений.
Пользовательские агенты, которые понимают хеш-источники, будут игнорировать 'unsafe-inline', а те, которые не будут возвращаться к 'unsafe-inline'. Так что это назад совместим.
Спасибо за ваш ответ. Я знаю, что CSP совместим с обратной совместимостью, но мне интересно, совместим ли он с переходом или если директивы, неизвестные браузеру, полностью нарушают правила CSP для этого браузера. –