内容安全策略指令:"script-src'non'违规错误

Question

我刚安装了MAMP并在htdocs文件夹中创建了2个文件:

的index.html

<!doctype html>
<html>
    <body>Test Page</body>
    <script src="script.js"></script>
</html>

的script.js
```
console.log("works");
```
Run Code Online (Sandbox Code Playgroud)

MAMP配置为以下端口:

打开localhost:8888在控制台中出现以下错误:

拒绝加载脚本' http:// localhost:8888/script.js ',因为它违反了以下内容安全策略指令:"script-src'none'".

我之前从未遇到过CSP,所以这让我感到困惑.是什么导致了这个问题？

Answer 1

原来这个问题的原因是打开的浏览器ScriptSafe扩展.禁用它解决了这个问题

花了几个小时试图解决为什么我遇到同样的问题.尝试了各种CSP标头组合,但似乎没有任何效果.偶然发现这个答案 - 毕竟这一次确实是ScriptSafe造成的错误.我禁用了它(并且还使用了allow/trust/temporary进行了测试 - 这也是有效的),并设法使CSP正常工作.通过添加/删除各种CSP设置进一步测试,以确保它确实有效.我知道越来越多的开发人员正在使用脚本拦截器,因为我们知道脚本构成风险是多么容易.谢谢@feetnappy! (4认同)
我禁用了 JavaScript (3认同)
就我而言，它是 Chrome 的“禁用 Javascript”扩展 (2认同)