为什么一个简单的按钮标签会违反 CSP?
Why a simple button tag gives a CSP violation?
我知道这听起来很奇怪,但我花了 3 个小时来检查它。一个简单的HTML
<button></button>
在 Firefox 或 Chrome
中返回
Content Security Policy: The page’s settings blocked the loading of a resource at self (“script-src”).
没有额外信息,没有行,没有文件,什么都没有。我用相同的 CSS 替换了 <input type="button"/>,现在可以使用了。
郑重声明,我的 CSP 'script-src' 规则是
script-src 'self' 'unsafe-eval' 'unsafe-inline' 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa' 'strict-dynamic' https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/ https://www.google-analytics.com/analytics.js https://api.uber.com https://cdnjs.cloudflare.com/ajax/libs/jsSocials/1.5.0/jssocials.min.js
我换成了
<input type="button"/>
与 CSS class 相同,现在可以使用了。这些 CSP 规则真的很奇怪而且有问题。
没有 type,button 隐式接收 type=submit。表单中有多少提交按钮或输入并不重要,其中任何一个显式或隐式键入为提交的按钮在单击时都会提交表单,因此 - 我想 - 会导致 CSP 出现问题。
我知道这听起来很奇怪,但我花了 3 个小时来检查它。一个简单的HTML
<button></button>
在 Firefox 或 Chrome
中返回Content Security Policy: The page’s settings blocked the loading of a resource at self (“script-src”).
没有额外信息,没有行,没有文件,什么都没有。我用相同的 CSS 替换了 <input type="button"/>,现在可以使用了。
郑重声明,我的 CSP 'script-src' 规则是
script-src 'self' 'unsafe-eval' 'unsafe-inline' 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa' 'strict-dynamic' https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/ https://www.google-analytics.com/analytics.js https://api.uber.com https://cdnjs.cloudflare.com/ajax/libs/jsSocials/1.5.0/jssocials.min.js
我换成了
<input type="button"/>
与 CSS class 相同,现在可以使用了。这些 CSP 规则真的很奇怪而且有问题。
没有 type,button 隐式接收 type=submit。表单中有多少提交按钮或输入并不重要,其中任何一个显式或隐式键入为提交的按钮在单击时都会提交表单,因此 - 我想 - 会导致 CSP 出现问题。