यदि script-src: hash-source का उपयोग ऐसे ब्राउज़र में किया जाता है जो hash-source नहीं समझता है, तो क्या ब्राउज़र script-src:, या यहां तक कि सभी सीएसपी को अनदेखा कर देगा? या यह केवल hash-source भाग को अनदेखा करेगा?सामग्री सुरक्षा नीति आगे संगत है?
अधिक आम तौर पर, क्या ब्राउज़र आगे संगत तरीके से सीएसपी लागू करते हैं?
पिछड़ा संगतता के बारे में क्या अयस्कॉश कहा गया सटीक है। एक तत्व मैच section 6.6.2.2 of the CSP draft standard में वर्णन किया गया निर्धारित करने की प्रक्रिया: hash-source या nonce-source की उपस्थिति में, unsafe-inline अनुरूप उपयोगकर्ता एजेंटों द्वारा नजरअंदाज कर दिया है: अगर यह कीवर्ड शामिल है
एक सूत्र सूची एक दिया प्रकार के सभी इनलाइन व्यवहार की अनुमति देता है
[...]
अभिव्यक्ति अस्थायी रूप से स्रोत या हैश स्रोत व्याकरण मेल खाता है, वापसी ": स्रोत अभिव्यक्ति 'असुरक्षित-इनलाइन', और निम्नलिखित कलन विधि में वर्णित के रूप कि अभिव्यक्ति पर हावी नहीं होता अनुमति नहीं देता है"।
प्रत्येक टोकन रिक्त स्थान पर बंटवारे स्रोत सूची द्वारा वापस लिए, यदि टोकन स्रोत अभिव्यक्ति के लिए व्याकरण से मेल खाता है, करने के लिए टोकन जोड़ें: इस प्रकार
इसके अलावा, सीएसपी 2 parsing a source list with unknown tokens की प्रक्रिया निर्दिष्ट करता है स्रोत अभिव्यक्तियों का सेट।
अन्यथा, इसे अनदेखा किया जाना चाहिए। तो स्पष्ट रूप से लेखक कम से कम एक निश्चित स्तर की अनुकूलता का इरादा रखते हैं।
हैश स्रोत तत्वों को समझने वाले ब्राउज़र कंसोल में चेतावनी छोड़ सकते हैं, लेकिन वे भी नहीं हो सकते हैं। अनुशंसित दृष्टिकोण उपयोगकर्ता एजेंट को समर्थन का पता लगाने के लिए स्नीफिंग का उपयोग करना है या अपने हैश स्रोत मानों के साथ 'unsafe-inline' दोनों भेजना है।
हैश स्रोतों को समझने वाले उपयोगकर्ता एजेंट 'unsafe-inline' को अनदेखा करेंगे और जो 'unsafe-inline' पर फ़ॉलबैक नहीं करेंगे। तो यह पीछे संगत है।
आपकी प्रतिक्रिया के लिए धन्यवाद। मुझे इस तथ्य से अवगत है कि सीएसपी पिछड़ा संगत है, लेकिन मुझे आश्चर्य है कि क्या यह आगे संगत है या ब्राउज़र के लिए अज्ञात निर्देशों का उपयोग करते हुए सीएसपी नियम पूरी तरह से उस ब्राउज़र के लिए तोड़ते हैं। –