1. 首頁
  2. 問答
  3. 允許某些腳本設置內聯樣式

允許某些腳本設置內聯樣式

2013-02-07 35 views
2

我使用csp頭保護我的頁面。我同時設置了X-Content-Security-PolicyX-Webkit-CSP。到以下值:允許某些腳本設置內聯樣式

default-src 'self'; 
object-src 'none'; 
frame-src 'self' *.youtube.com; 
style-src 'self' https://ajax.googleapis.com; 
script-src 'self' https://ajax.googleapis.com; 
report-uri /csp_report

一切正常加載,但我得到在鉻下面的錯誤。我還沒有在其他瀏覽器中測試它。

Refused to apply inline style because it violates the following Content 
Security Policy directive: "style-src 'self' https://ajax.googleapis.com".

指在當前域的腳本行,這是試圖插入含內嵌樣式一些HTML。有沒有辦法允許我使用script-src列入白名單的腳本來執行此操作?我在jquery上收到了與ajax.googleapis.com上託管的相同的錯誤。

來源

2013-02-07 bigblind

回答

3

我忽略了'unsafe-inline'。資源,我允許加載可以這樣使用內聯樣式:

style-src 'unsafe-inline'

來源

2013-02-07 21:14:52 bigblind

+6

不安全的內聯是不是一個「解決方案」,因爲它只是規避每個人的安全政策,是一樣的,在第一沒有一個地點。 –

相關問題

 相關問題