如何在 CSP 中允许 HTML 中的脚本
How to allow scripts in HTML in CSP
我网站的 script-src 继续产生错误并拒绝加载我的 Header.html 文件中的脚本,我尝试了多个网站,包括阅读文档,但我不确定我做错了什么,如果我只需要耐心等待它在我的网站上生效。
我目前正在为我的 CSP 政策使用元标记,
<meta http-equiv="Content-Security-Policy" content="default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval';">
<script src='https://th4rjdmmrjsz.statuspage.io/embed/script.js'></script>
但是,无论我用它做什么,似乎都没有用,我使用过像 RapidSec 和 CSP 站点本身这样的网站,包括一个自动生成器,但似乎没有任何效果。我在这里做错了什么?
编辑:添加了示例脚本。
CSP 的版本(或级别)具有扩展原始规范的新支持功能。通过 html 元 header 为 CSP 提供服务被认为是遗留的并且有一些 drawbacks/bugs。 尝试通过请求的 HTTP header 设置 CSP。
此外,如果您使用的是 RapidSec,则可以使用自动为您执行此操作的集成(Wordpress 插件,Node.js 包)。
我网站的 script-src 继续产生错误并拒绝加载我的 Header.html 文件中的脚本,我尝试了多个网站,包括阅读文档,但我不确定我做错了什么,如果我只需要耐心等待它在我的网站上生效。
我目前正在为我的 CSP 政策使用元标记,
<meta http-equiv="Content-Security-Policy" content="default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval';">
<script src='https://th4rjdmmrjsz.statuspage.io/embed/script.js'></script>
但是,无论我用它做什么,似乎都没有用,我使用过像 RapidSec 和 CSP 站点本身这样的网站,包括一个自动生成器,但似乎没有任何效果。我在这里做错了什么?
编辑:添加了示例脚本。
CSP 的版本(或级别)具有扩展原始规范的新支持功能。通过 html 元 header 为 CSP 提供服务被认为是遗留的并且有一些 drawbacks/bugs。 尝试通过请求的 HTTP header 设置 CSP。
此外,如果您使用的是 RapidSec,则可以使用自动为您执行此操作的集成(Wordpress 插件,Node.js 包)。