启用 CSP 策略会导致前端 javascript 不发送 cookie 和引荐来源网址 header?
Enabling CSP policy causing javascript on frontend to NOT send cookies and referrer header?
如果我从后端删除 CSP 策略,nodejs。然后一切正常。但是如果我启用它,javascript 就会中断。
为了进一步查看,我检查了由 js 文件发出的 ajax 请求中的 header 请求。有两个很大的区别:a) 没有发送 cookie,b) 没有发送引荐来源 header。
对我来说这是个谜。
csp 字符串:
Content-Security-Policy:
default-src 'self';
script-src 'self' ...;
style-src 'self' 'unsafe-inline' ...;
font-src 'self' ..;
img-src 'self' data: ..;
sandbox allow-forms allow-scripts;
report-uri /report-violation;
object-src 'none';
worker-src 'self' ..;
frame-src 'self' h..;
删除 sandbox 指令,或向其添加 allow-same-origin。默认情况下,sandbox 子句将所有嵌入内容(包括脚本!)视为来自唯一来源,这会阻止它使用您网站的 cookie。
如果我从后端删除 CSP 策略,nodejs。然后一切正常。但是如果我启用它,javascript 就会中断。
为了进一步查看,我检查了由 js 文件发出的 ajax 请求中的 header 请求。有两个很大的区别:a) 没有发送 cookie,b) 没有发送引荐来源 header。
对我来说这是个谜。
csp 字符串:
Content-Security-Policy:
default-src 'self';
script-src 'self' ...;
style-src 'self' 'unsafe-inline' ...;
font-src 'self' ..;
img-src 'self' data: ..;
sandbox allow-forms allow-scripts;
report-uri /report-violation;
object-src 'none';
worker-src 'self' ..;
frame-src 'self' h..;
删除 sandbox 指令,或向其添加 allow-same-origin。默认情况下,sandbox 子句将所有嵌入内容(包括脚本!)视为来自唯一来源,这会阻止它使用您网站的 cookie。