我的web应用程序有一个内容安全政策,该政策将img-src设置为*(从任何位置加载图像),但是Chrome仍然阻止某些图像加载...
拒绝加载图像'data:image / webp; base64,UklGRhoAAABXRUJQVlA4TA0AAAAvAAAAEAcQERGIiP4HAA ==',因为它违反了以下内容安全策略指令:“ img-src *”。?LG @ JS库=地方,几何&V = 3&回调= async_req_1:84(匿名功能)@ JS库=地方,几何&V = 3&回调=?async_req_1:119google.maps.Load @ JS库=地方,几何&V = 3&回调= async_req_1: 21(匿名函数)@ js?libraries = places,geometry&v = 3&callback = async_req_1:118(匿名函数)@ js?libraries = places,geometry&v = 3&callback = async_req_1:119
如果我在指令中包含“ data:”,则错误不会显示在控制台中。
img-src *数据:;
但是,这不是有效的指令。是否存在一个可以满足Chrome要求的img-src有效CSP值,或者这可能是Chrome错误?我在可访问的错误列表中找不到任何直接匹配项。我推测这可能与SVG文件中嵌入的图像有关。Firefox和Safari不会出现此行为。
content-security-policy.com错误。请参阅w3.org/TR/CSP2/#source-list-guid-matching。
如上文所定义,引用“ *:data:”,“ blob:”和“ filesystem:”之类的引用特定唯一内容的特殊URL方案不匹配*策略,并且必须明确列出。
*也不包含“不安全内联”或“不安全评估”。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句