之前我在實作時有測試過CSP可以防止hacker inject javascript
可是昨日在測試時發現現在完全無法抓包javascript injection了，有人知道為什麼嗎？
測試方法:
$("#id").append("<script>alert('xss')</script>");
先前結果:
CSP report
目前測試結果:
顯示xss
CSP header:
Content-Security-Policy-Report-Only: default-src 'self'; img-src 'self' data:;
child-src 'none';object-src 'none'; script-src 'self' 'unsafe-eval';style-src'
self' 'unsafe-inline';report-uri csp_report;
請問大大CSP協定是不是有做什麼更動，因為Chrome跟Firefox的反應都一樣，還是我哪裡
寫錯了。。。
煩請大大指教
手機排版傷眼先抱歉><

Report-Only 是不是只有通報，沒有真的限制

是啊 只要有CSP report 才代表有抓到 但問題是他沒report(沒抓到JS injection) 所以就算拿掉report也不會擋