我开发了一个新网站。在chrome浏览器中,有一些关于“不安全内联”的例外。这是因为HTML中有内联javascript和内联样式。我将X-Content-Security-Policy / Content-Security-Policy设置为允许内联脚本等。但是对于内联脚本,其他定义起作用,如为img-src设置url,则没有任何效果。
<meta http-equiv="X-Content-Security-Policy" content="default-src *; script-src 'self' 'unsafe-inline';img-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com;child-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com *.facebook.com;style-src 'self' 'unsafe-inline'">
我的问题是。有没有一种我可以允许的方式?为什么不安全的内联参数不起作用?我知道CSP可以提高安全性,但是我们有内联脚本/样式,这是购买的代码,因此我们无法更改它。为什么我的旧页面不会对此内容安全政策产生影响,而新页面会受到影响?我可以关闭整个CSP内容吗?
而且我发现有趣的是,模板很好,没有CSP的例外,但是当我在网页上使用模板时,例外就是例外。这个怎么可能?这可能是服务器配置吗?我使用Adobe CQ 6.1。
如果我不是公司网络中的CSP,我只会遇到问题。
问题解决了。必须在虚拟主机文件的服务器配置中添加meta标签,例如
#设置内容安全政策
标头设置了Content-Security-Policy“默认'self''unsafe-inline'”
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句