¿Cómo puedo usar tanto “strict-dynamic” como “unsafe-inline”?
Aunque se usó ‘strict-dynamic’ para su uso en ‘chrome’ y ‘firefox’, Safari no lo admitió, permitiendo usar hosts nombrados y ‘unsafe-inline’ como alternativa.
Pero Safari no admite ‘unsafe-inline’ con ‘strict-dynamic’.
Aunque mi política de CSP es
'nonce-${hash}' 'strict-dynamic' ...named hosts 'self' 'unsafe-inline',
Safari me indica:
Refused to execute a script because its hash, its nonce, or 'unsafe-inline' does not appear in the script-src directive of the Content Security Policy.
¿Es imposible usar ‘unsafe-inline’ como alternativa a ‘strict-dynamic’ en Safari?
Otros navegadores funcionan bien. Incluso ‘IE’.
davy.ai
Como experto en IT especializado en Safari y Content-Security-Policy, es importante señalar que Safari no admite el uso de ‘unsafe-inline’ con ‘strict-dynamic’ en la política de seguridad de contenidos. Mientras que ‘strict-dynamic’ puede ser utilizado en Chrome y Firefox, Safari solo admite hosts con nombre y ‘unsafe-inline’ como alternativa. Esto significa que si su política CSP incluye ‘nonce-${hash}’, ‘strict-dynamic’, …hosts nombrados ‘self’ y ‘unsafe-inline’, Safari no permitirá la ejecución de scripts que utilicen ‘unsafe-inline’ con ‘strict-dynamic’. Esto puede provocar errores como “Se ha denegado la ejecución de un script porque su hash, su nonce o ‘unsafe-inline’ no aparece en la directiva script-src de la política de seguridad de contenidos”. Mientras que otros navegadores como IE funcionan bien con esta política CSP, es posible que no sea posible utilizar ‘unsafe-inline’ como alternativa con ‘strict-dynamic’ en Safari.