Chrome 是否将内容安全策略 HOST 视为区分大小写?

Chrome 是否将内容安全策略 HOST 视为区分大小写?

在 WordPress 中构建网站时,Customizer 不会加载框架来显示页面。以下是 Chrome 中的错误。

拒绝显示'https://example.com/?customize_changeset_uuid=....' 因为祖先违反了以下内容安全策略指令:“frame-ancestorshttps://Example.com“。

请注意,URL 中的 HOST 为小写,而 URL 中的 HOST 为大小写混合。框架祖先指令。如果我改变WordPress 地址 (URL)在 WordPress 设置中将 HOST 改为小写,Chrome 就会加载页面。这意味着 Chrome 会区分大小写。Firefox 会在两种情况下加载框架。

从我简要阅读的内容安全策略级别 2 的 4.2 源列表语法部分4.2.2. 匹配源表达式,第 4.7 项规定 HOST 不区分大小写。

  1. 如果源表达式的主机部分的第一个字符不是 U+002A 星号字符 (*),并且 url-host 与源表达式的主机部分不区分大小写匹配,则返回不匹配。

这是 Chrome 的一个错误吗?我是否误解了 CSP2 区分主机大小写?

如果有人感到疑惑,以下是版本。

  • Google Chrome 版本 68.0.3440.106(官方版本)(64 位)(在 openSUSE Leap 15.0 上)
  • Firefox 61.0.2(64 位)(在 openSUSE Leap 15.0 上)
  • nginx 1.15.2-111.1(在 openSUSE Leap 42.3 上)
  • WordPress 4.9.8

答案1

没有回复通常意味着这是一个错误并且没有人提出建议。问题 882145已打开。

相关内容