之前我在实作时有测试过CSP可以防止hacker inject javascript
可是昨日在测试时发现现在完全无法抓包javascript injection了，有人知道为什么吗？
测试方法:
$("#id").append("<script>alert('xss')</script>");
先前结果:
CSP report
目前测试结果:
显示xss
CSP header:
Content-Security-Policy-Report-Only: default-src 'self'; img-src 'self' data:;
child-src 'none';object-src 'none'; script-src 'self' 'unsafe-eval';style-src'
self' 'unsafe-inline';report-uri csp_report;
请问大大CSP协定是不是有做什么更动，因为Chrome跟Firefox的反应都一样，还是我哪里
写错了。。。
烦请大大指教
手机排版伤眼先抱歉><

Report-Only 是不是只有通报，没有真的限制

是啊 只要有CSP report 才代表有抓到 但问题是他没report(没抓到JS injection) 所以就算拿掉report也不会挡