拒绝加载内联脚本
Refused to load inline script
我有一个本地节点 js 服务器,当我 运行 它在我的桌面上时,网站可以正确加载。问题是当我 运行 我的笔记本电脑上的服务器打开网站时出现这些错误。
为什么在台式机和 heroku 服务器上可以正常工作,但在我的笔记本电脑上却不能?
PS:我从来没有使用 meta 来设置 CSP 或 manifest.json 或类似的东西,因为我不知道为什么没有这些设置它就不能像在桌面上一样工作。我还有一个使用 mkcert 创建的有效 SSL 证书,就像在我的桌面上一样。
从 Chrome 46 开始,可以通过在策略中指定源代码的 base64 编码哈希来允许内联脚本。此散列必须以使用的散列算法(sha256、sha384 或 sha512)作为前缀。
有关详细信息,请参阅 this link。
如果您需要一些外部 JavaScript 或对象资源,您可以通过将应接受脚本的安全来源列入白名单来在一定程度上放宽政策。
您的资源管理器想要确保加载了扩展程序提升权限的可执行资源正是您所期望的资源,并且没有被活跃的网络攻击者替换。由于 man-in-the-middle 通过 HTTP 进行的攻击既微不足道又无法检测到,因此不会接受这些来源。
我有一个本地节点 js 服务器,当我 运行 它在我的桌面上时,网站可以正确加载。问题是当我 运行 我的笔记本电脑上的服务器打开网站时出现这些错误。
为什么在台式机和 heroku 服务器上可以正常工作,但在我的笔记本电脑上却不能?
PS:我从来没有使用 meta 来设置 CSP 或 manifest.json 或类似的东西,因为我不知道为什么没有这些设置它就不能像在桌面上一样工作。我还有一个使用 mkcert 创建的有效 SSL 证书,就像在我的桌面上一样。
从 Chrome 46 开始,可以通过在策略中指定源代码的 base64 编码哈希来允许内联脚本。此散列必须以使用的散列算法(sha256、sha384 或 sha512)作为前缀。
有关详细信息,请参阅 this link。
如果您需要一些外部 JavaScript 或对象资源,您可以通过将应接受脚本的安全来源列入白名单来在一定程度上放宽政策。
您的资源管理器想要确保加载了扩展程序提升权限的可执行资源正是您所期望的资源,并且没有被活跃的网络攻击者替换。由于 man-in-the-middle 通过 HTTP 进行的攻击既微不足道又无法检测到,因此不会接受这些来源。