内容安全策略。网络组件。 script src DataURI 。我可以用 META 标签覆盖 HTTP HEADER 吗？

Question

我正在为 Shopify CMS 开发一个插件。此插件使用 webcomponents.js 通过

加载 Polymer 脚本

script.src = "data:text/javascript;charset=utf-8," + encodeURIComponent(scriptContent);

webcomponentsjs/src/HTMLImports/parser.js line 307

在 FireFox 中我得到以下错误：

Content Security Policy: The page’s settings blocked the loading of a resource at data:text/javascript;charset=utf-8,/**script code*/(“script-src https://domainurl https://* 'unsafe-inline' 'unsafe-eval'”)

原始内容安全策略header（我无法在服务器上更改此header，因为 Shopify 是一个托管平台，我无法控制它）

Content-Security-Policy:
default-src 'self' https://*;
child-src 'self' https://* blob: data:; 
connect-src 'self' https://* wss://*;
font-src 'self' https://* blob: data:;
img-src 'self' https://* blob: data:; 
media-src'self' https://* blob: data:;
object-src 'self' https://* blob: data:;
script-src 'self' https://* 'unsafe-inline' 'unsafe-eval';
style-src 'self' https://* 'unsafe-inline';

我正在尝试通过元标记

超载此 header

  <meta http-equiv="Content-Security-Policy" content="
    default-src * data: 'unsafe-inline' 'unsafe-eval'; 
    script-src * data: 'unsafe-inline' 'unsafe-eval'; 
" />

是否可以通过元标记重载 header 值？

Answer 1

我发现我无法管理内容安全策略。

我已修补 webcomponents.js file.I 已删除 script.src = "data:text/javascript;charset=utf-8," + encodeURIComponent(scriptContent);。

现在我正在通过 script.textContent 加载脚本。

内容安全策略。网络组件。 script src DataURI 。我可以用 META 标签覆盖 HTTP HEADER 吗？

Content security policy. webcomponent. script src DataURI .Can I override HTTP HEADER by META tag?

javascript

firefox

web-component

shopify

content-security-policy