如何解决内容安全策略元标记被忽略
我想通过使用html中的Meta标签在我的网站上启用CSP。这是我当前的标签:
<Meta http-equiv="Content-Security-Policy" content="default-src 'self' filesystem; style-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com/bootstrap/*; img-src 'self' filesystem https://*; child-src 'self' https://player.twitch.tv/* https://www.twitch.tv/*; script-src 'self' https://code.jquery.com/* https://player.twitch.tv/* filesystem;">
以上所有工作,除了对任何外部URL的任何提及。引导,jQuery或抽搐请求均不被允许通过,并且所有请求均被阻止,例如:
“拒绝加载样式表'https://stackpath.bootstrapcdn.com/bootstrap/4.5.0/css/bootstrap.min.css',因为它违反了以下内容安全策略指令:” default-src'self '* .bootstrapcdn.com”。请注意,“ style-src-elem”未明确设置,因此将“ default-src”用作后备。”
有什么想法可以确认所有文件系统内容,但是不允许任何涉及外部http请求的规则通过吗?
解决方法
我怀疑添加了默认标头,因为该策略与您在问题中包含的标头不同。这也是其他外部请求被阻止的原因。您应该在问题中包括与页面一起实际提供的所有CSP,标头和元均包含CSP。
浏览器实现的次要细节差异很大,这可能是文件系统为您工作的原因。您应该列出已测试过的浏览器。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
