在实现 csp-header 时,我已将我的策略指定为:
default-src 'self'; script-src www.gstatic.com;由于我没有script-src-elem在我的 csp 策略中声明指令,如本mdn 文档中所述,我期望定义的策略也script-src用于script-src-elem指令。但是,我看到违规被报告为"viloated-directive":"script-src-elem" "blocked-uri":"https://www.gstatic.com/blah/blah"。
知道为什么会发生这种行为吗?