在CSP头上工作,认为控制台浏览器拒绝执行内联脚本,因为它违反了以下内容安全策略指令
在CSP头上工作,认为控制台浏览器拒绝执行内联脚本,因为它违反了以下内容安全策略指令
提问于 2021-12-23 08:37:13
#console浏览器的内容安全策略问题
拒绝执行内联脚本,因为它违反了以下内容安全策略指令:" script -src 'self'“。要么是‘不安全-内联’关键字,要么是散列('sha256-9X08/o2ns8hEbTzT0V1Xyn6yYc8qftFOKmH3KNb8dWo='),,要么是“不安全-.”)是启用内联execution.enter图像描述所必需的。
#Image of the error
[1]: https://i.stack.imgur.com/7R9sp.png为CSP编写的代码
frame-ancestors 'self' https:
script-src 'self';
object-src 'none';
base-uri 'none';
style-src 'self' fonts.googleapis.com 'unsafe-inline';
media-src *;
img-src 'self';回答 2
Stack Overflow用户
发布于 2021-12-28 01:51:15
似乎错误表明使用内联脚本存在问题。看起来就像
<script>
your codes
</script>如果要使用内联脚本,请在script-src指令中添加“不安全行”。
当前设置只允许作为域源的脚本。
(前)
Stack Overflow用户
发布于 2022-01-03 12:18:18
您的脚本-src指令中的“self”只允许脚本作为脚本文件从同一个域加载。您的页面还具有需要在CSP中具有运行权限的内联脚本。你有几个选择:
- 将脚本代码移动到托管在同一域中的单独的.js文件。如果使用不同的主机,则需要在脚本-src指令中允许该主机。
- 添加“不安全-内联”。这将允许所有内联脚本,这将很大程度上消除CSP能够提供的XSS保护。
- 将建议的散列值
添加到script-src中,从而允许这个脚本。如果只有一个或几个内联脚本可以允许,这是一个很好的解决方案。
- 添加了一个nonce。如果您能够正确地注入非you,那么每个页面上的非you都应该更改,并且是动态脚本的一个很好的解决方案。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/70459554
复制相关文章
相似问题
腾讯云开发者
