内容安全策略的问题
Trouble with content security policy
所以我一直在尝试使用 google 可编程搜索引擎脚本,但我在使用元标记时遇到了问题。
我包含在我的元标记如下:
<meta http-equiv="Content-Security-Policy" content="script-src *.google.com 'self';">
但是,我仍然收到一条错误消息,告诉我它拒绝加载脚本,因为它违反了“content-security-policy 指令:”script-src 'self'”
我想知道它是否从其他地方继承了某种设置,因为它不接受我正在设置的新脚本源,但是如果我将它设置为 'none'.
顺便说一下,我是 html 的新手,所以我可能会犯一些明显的错误。
您似乎已发出 2 Content-Security-Policy。如果有多个 CSP,则将适用两者最严格的规则(所有 sources/tokens 应通过两个 CSP 未被划伤)。
可以通过 2 种方式提供内容安全策略:
- 通过 HTTP header
Content-Security-Policy:(首选)
- 通过 meta-tag(有限的可能性)
因此您需要检查 HTML 代码中的双 <meta http-equiv="Content-Security-Policy"。
并在浏览器开发者工具(Crtl+Shift+i Chrome 和 Crtl+Shift+k 在 Fifrefox 中检查 HTTP 响应 headers(因为 CMS 默认可以发布 CSP -> 网络选项卡 -> select 左侧主页 window 并查看响应 headers):
所以我一直在尝试使用 google 可编程搜索引擎脚本,但我在使用元标记时遇到了问题。 我包含在我的元标记如下:
<meta http-equiv="Content-Security-Policy" content="script-src *.google.com 'self';">
但是,我仍然收到一条错误消息,告诉我它拒绝加载脚本,因为它违反了“content-security-policy 指令:”script-src 'self'”
我想知道它是否从其他地方继承了某种设置,因为它不接受我正在设置的新脚本源,但是如果我将它设置为 'none'.
顺便说一下,我是 html 的新手,所以我可能会犯一些明显的错误。
您似乎已发出 2 Content-Security-Policy。如果有多个 CSP,则将适用两者最严格的规则(所有 sources/tokens 应通过两个 CSP 未被划伤)。
可以通过 2 种方式提供内容安全策略:
- 通过 HTTP header
Content-Security-Policy:(首选) - 通过 meta-tag(有限的可能性)
因此您需要检查 HTML 代码中的双 <meta http-equiv="Content-Security-Policy"。
并在浏览器开发者工具(Crtl+Shift+i Chrome 和 Crtl+Shift+k 在 Fifrefox 中检查 HTTP 响应 headers(因为 CMS 默认可以发布 CSP -> 网络选项卡 -> select 左侧主页 window 并查看响应 headers):
