尽管正在定义 CSP script-src-elem 错误,但如何修复它?

How to fix CSP script-src-elem Error although it is being defined?

我的哈巴狗的元标记中有类似的内容。我的文件中有大量 2 3 CDN。

 meta(http-equiv='Content-Security-Policy' content="default-src * 'unsafe-inline' 'unsafe-eval'; script-src-elem * 'unsafe-inline';"  )

尽管我已经定义了 script-src-elem,但我还是收到类似这样的错误。

Refused to load the script '<URL>' because it violates the following Content Security Policy directive: "script-src 'self'". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback. 我将衷心感谢您的帮助。提前致谢

您的浏览器似乎不支持此指令。

您收到的消息在 MDN 上有解释 script-src-elem

If script-src-elem is absent, User Agent falls back to the script-src directive, and if that is absent as well, to default-src.

顺便说一句:

specifies valid sources for JavaScript elements, but not inline script event handlers like onclick

让我猜猜。您使用与 Express 链接的 PUG。在 Express 中使用 Helmet 安全中间件。

重点是 Helmet 4 默认通过 HTTP header 发布 CSP,并且 script-src 'self' 是此头盔默认 CSP 的片段。

既然你已经发布了一个 CSP,你就不能使用元标记来放松它。如果有 2 个 CSPS 发布,所有来源都应该通过两个 CSP 未被破坏。因此,您来自元标记的 script-src-elem * 'unsafe-inline' 不会触发违规,但来自 CSP HTTP header 的 script src 'self' - 确实会引发违规。
您必须通过 Helmet 中的 helmet.contentSecurityPolicy(options). Or disable CSP 删除元标记并配置 Helmet 并使用元标记:

app.use(
  helmet({
    contentSecurityPolicy: false,
  })
);