内容安全策略停用
Content Security Policy deactivate
我开发了一个新网站。在 chrome 浏览器中有关于 'unsafe-inline' 的例外情况。这是因为HTML中有内联javascript和内联样式。
我将 X-Content-Security-Policy / Content-Security-Policy 设置为允许内联脚本等等。但是没有效果,对于内联脚本,其他定义有效,比如为 img-src 设置 url。
<meta http-equiv="X-Content-Security-Policy" content="default-src *; script-src 'self' 'unsafe-inline';img-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com;child-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com *.facebook.com;style-src 'self' 'unsafe-inline'">
我的问题是。有什么办法可以允许吗?为什么 unsafe-inline 参数不起作用?我知道 CSP 是为了更好的安全性,但我们有内联脚本/样式,这是购买的代码,所以我们无法更改它。
为什么我的旧页面不会受到此内容安全策略的影响,而新页面会受到影响?我可以关闭整个 CSP 吗?
而且我发现有趣的是,CSP 的模板没有例外,但当我在网页上使用模板时却有例外。怎么可能?这可能是服务器配置吗?我使用 Adobe CQ 6.1。
如果我不在公司网络中,我遇到的 CSP 问题。
问题已解决。
必须在虚拟主机文件的服务器配置中添加元标记,例如
#设置内容安全策略
Header 设置 Content-Security-Policy "default 'self' 'unsafe-inline'"
我开发了一个新网站。在 chrome 浏览器中有关于 'unsafe-inline' 的例外情况。这是因为HTML中有内联javascript和内联样式。 我将 X-Content-Security-Policy / Content-Security-Policy 设置为允许内联脚本等等。但是没有效果,对于内联脚本,其他定义有效,比如为 img-src 设置 url。
<meta http-equiv="X-Content-Security-Policy" content="default-src *; script-src 'self' 'unsafe-inline';img-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com;child-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com *.facebook.com;style-src 'self' 'unsafe-inline'">
我的问题是。有什么办法可以允许吗?为什么 unsafe-inline 参数不起作用?我知道 CSP 是为了更好的安全性,但我们有内联脚本/样式,这是购买的代码,所以我们无法更改它。 为什么我的旧页面不会受到此内容安全策略的影响,而新页面会受到影响?我可以关闭整个 CSP 吗?
而且我发现有趣的是,CSP 的模板没有例外,但当我在网页上使用模板时却有例外。怎么可能?这可能是服务器配置吗?我使用 Adobe CQ 6.1。
如果我不在公司网络中,我遇到的 CSP 问题。
问题已解决。 必须在虚拟主机文件的服务器配置中添加元标记,例如
#设置内容安全策略
Header 设置 Content-Security-Policy "default 'self' 'unsafe-inline'"