mlu*_*ssi 5 javascript ajax jquery content-security-policy
为了提高我当前项目的安全性,我开始使用以下 CSP 实现页面:
Content-Security-Policy: default-src 'none';
connect-src 'self'; img-src 'self'; object-src 'none';
script-src 'self' https://www.googletagmanager.com
https://notifications.google.com; style-src 'self' 'unsafe-inline';
font-src https://fonts.googleapis.com https://fonts.gstatic.com/;
base-uri 'self'; frame-ancestors 'self'; form-action 'self';
它工作正常,包括加载了 AJAX/jquery 的部分,除了加载内容如下所示的一个脚本:
<div>content</div>
<script src="ganalyse.js"></script>
我希望浏览器加载链接的 javascript,因为该文件位于同一台服务器上并且应该包含在“self”声明中,但浏览器控制台会记录一个错误(控制台日志(德语)):
Content Security Policy: The page's settings blocked the loading of
a resource at self...
为了排除链接的 js-File 中的错误,它目前仅包含警报。任何人都知道我应该改变什么才能让它发挥作用?$.getScript() 给我同样的错误...
编辑:
通过 AJAX 或 $.getScript() 加载的标记似乎被处理为内联代码(仅在激活“不安全内联”时才起作用)。到目前为止,我将尝试建立一个解决方法
| 归档时间: |
|
| 查看次数: |
6985 次 |
| 最近记录: |