在 .htaccess 中处理内容安全策略
Handling Content Security Policy in .htaccess
我在浏览器控制台上收到错误 'Refused to load the stylesheet 'https://xxx.xxxxxxxxx.com/web_app_assets/css/font-awesome/css/font-awesome.min.css' because it violates the following Content Security Policy directive: "style-src 'self' 'unsafe-inline' https://fonts.googleapis.com".'
我在 .htaccess 中有以下设置 - Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com"
我们为同一网站提供网络视图和移动视图。如果通过移动浏览器加载网站,我们重定向到移动域(指向同一个网站文件夹)并且我们只加载移动视图,那时我在控制台中出现上述错误,并且 CSS & JS 不加载。
我发现了问题。当我们在移动浏览器上重定向到移动版本域时,Web 域名/基本路径在配置文件中定义。因此,在重定向后,它试图从网络域而不是移动域加载 CSS & JS 文件。
所以我们在配置文件中将静态域名/基本路径 (https://xxx.xxxxxxxxx.com/) 替换为动态域名 ("https://".$_SERVER['SERVER_NAME']),一切正常。
谢谢
我在浏览器控制台上收到错误 'Refused to load the stylesheet 'https://xxx.xxxxxxxxx.com/web_app_assets/css/font-awesome/css/font-awesome.min.css' because it violates the following Content Security Policy directive: "style-src 'self' 'unsafe-inline' https://fonts.googleapis.com".'
我在 .htaccess 中有以下设置 - Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com"
我们为同一网站提供网络视图和移动视图。如果通过移动浏览器加载网站,我们重定向到移动域(指向同一个网站文件夹)并且我们只加载移动视图,那时我在控制台中出现上述错误,并且 CSS & JS 不加载。
我发现了问题。当我们在移动浏览器上重定向到移动版本域时,Web 域名/基本路径在配置文件中定义。因此,在重定向后,它试图从网络域而不是移动域加载 CSS & JS 文件。 所以我们在配置文件中将静态域名/基本路径 (https://xxx.xxxxxxxxx.com/) 替换为动态域名 ("https://".$_SERVER['SERVER_NAME']),一切正常。 谢谢