水無月ばけらのえび日記

CSP時代への布石としてDOCTYPE宣言の前にコメントを書くことを布教して回るしか【違】。

<!----><!DOCTYPE html><meta charset=UTF-8><meta http-equiv="X-Content-Security-Policy" content="default-src 'self'"><meta charset=UTF-8><meta http-equiv="X-WebKit-CSP" content="default-src 'self'"><body><script src="#">

alert(1);

//</script></body>

FirefoxはmetaでのCSP指定に対応していませんが、少なくともChromeを貫通することは確認済みです。

ちなみにscript要素のsrc属性に指定されたリソースを解釈するときContent-Typeを(charset以外)無視するのはHTML5の仕様です。明示的に無視するとは書かれていないようですが、"the script block's type"はアルゴリズムを見るかぎりContent-Typeメタデータと無関係に設定されます。

http://dev.w3.org/html5/spec/single-page.html#execute-the-script-block

http://dev.w3.org/html5/spec/single-page.html#the-script-block-s-type

Web Workersの仕様の備考にも無視されると書かれています。

http://dev.w3.org/html5/workers/#run-a-worker