我在开发者控制台中遇到了一堆错误:
拒绝评估字符串
拒绝执行内联脚本,因为它违反了以下内容安全策略指令
拒绝加载脚本
拒绝加载样式表
这是怎么回事?内容安全策略如何运作?我如何使用Content-Security-PolicyHTTP标头?
具体来说,如何......
file://协议?<style>和<script>?eval()?最后:
'self'意思?html javascript security http-headers content-security-policy
我已经搜索了该主题,但在nginx配置中找不到任何表示“确定”的内容?
除了弄乱vim中突出显示的语法外,这似乎工作得很好:
add_header Content-Security-Policy "default-src 'self' *.google-analytics.com;
object-src 'none';
report-uri /csp-report;";
但这真的有效吗?我是依靠浏览器来了解CSP中的换行符吗,还是nginx在提供它之前将其分成一行?Fiddler似乎将其显示为一行,但是我也不知道nginx是否以此为目的或者Fiddler是否以这种方式进行解释。
(这显然是我真正的CSP的简化版本,它肯定足够长,以至于我认为将其分为多行有益于我的理智!)