la copmpact policy deve essere "sparata" nell'http header ad ogni chiamata del browser...quindi devi mettere obbligatoriamente le mani sul server

su iis c'è un apposita finestrella HTTP Headers nel pannello di controllo
su apache bisogna aggiungere una riga all httpd.conf(mi pare si chiami così)