尝试调用 API 时出错(内容安全策略)

Geting error when trying to call API (Content Security Policy)

尝试从已部署的网站启动 get 功能并出现此错误:

Refused to connect to 'https://www.themealdb.com/api/json/v2/xxx/search.php?s=apple' because it violates the following Content Security Policy directive: "default-src 'self' http://*.google-analytics.com http://www.googletagmanager.com https://*.google.com https://*.google-analytics.com https://*.googletagmanager.com https://*.gstatic.com https://*.googleapis.com https://authedmine.com https://az743702.vo.msecnd.net https://sentry.io ws://localhost:4200". Note that 'connect-src' was not explicitly set, so 'default-src' is used as a fallback.

虽然 运行 本地主机服务器上的网站一切正常。

将此 meta tag 添加到我的 index.html,但仍然收到相同的错误消息。

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' http://* 'unsafe-inline'; script-src 'self' http://* 'unsafe-inline' 'unsafe-eval'">

您应该检查您部署的网站发送的 CSP 响应 headers。添加元标记只能限制 CSP 的总集合。

您也在尝试连接到“”。如果您预期的 URL 在 CSP 中列入白名单,但由于某种原因出现空白,这可能是它失败的原因。

所以,起初我为我的 index.html 页面添加了元标记,但它没有用。 之后我创建了 interceptor,将 headers 添加到我的 get 函数中。 您可以在 https://angular.io/api/common/http/HttpInterceptor

阅读有关拦截器的更多信息

还是不行。 然后我发现在我的 server.ts 文件中有这些代码行:

app.use(helmet());
app.use(helmet.contentSecurityPolicy({
  directives: AppConfig.cspDirectives
}));

。有关 helmet 的更多信息: https://www.npmjs.com/package/helmet

然后在我的 app.module 提供商部分分配了 {provide: APP_CONFIG, useValue: AppConfig} 配置。

下面是 app.config.ts 文件现在的样子:

import {InjectionToken} from '@angular/core';

export let APP_CONFIG = new InjectionToken('app.config');

export const AppConfig: any = {
  cspDirectives: {
    defaultSrc: [
      '\'self\'',
      'http://*.google-analytics.com',
      'http://www.googletagmanager.com',
      'https://*.google.com',
      'https://*.google-analytics.com',
      'https://*.googletagmanager.com',
      'https://*.gstatic.com',
      'https://*.googleapis.com',
      'https://authedmine.com',
      'https://az743702.vo.msecnd.net',
      'https://sentry.io',
      'https://www.themealdb.com/',
      'ws:<my-webpage-url>',
    ],
    styleSrc: [
      '\'self\'',
      '\'unsafe-inline\'',
      'https://*.googleapis.com'
    ],
    scriptSrc: [
      '\'self\'',
      '\'unsafe-inline\'',
      'http://*.googletagmanager.com',
      'https://*.google-analytics.com'
    ]
  }
};