2
我使用csp頭保護我的頁面。我同時設置了X-Content-Security-Policy
和X-Webkit-CSP
。到以下值:允許某些腳本設置內聯樣式
default-src 'self';
object-src 'none';
frame-src 'self' *.youtube.com;
style-src 'self' https://ajax.googleapis.com;
script-src 'self' https://ajax.googleapis.com;
report-uri /csp_report
一切正常加載,但我得到在鉻下面的錯誤。我還沒有在其他瀏覽器中測試它。
Refused to apply inline style because it violates the following Content
Security Policy directive: "style-src 'self' https://ajax.googleapis.com".
指在當前域的腳本行,這是試圖插入含內嵌樣式一些HTML。有沒有辦法允許我使用script-src列入白名單的腳本來執行此操作?我在jquery上收到了與ajax.googleapis.com上託管的相同的錯誤。
不安全的內聯是不是一個「解決方案」,因爲它只是規避每個人的安全政策,是一樣的,在第一沒有一個地點。 –