我开发了一个新网站。在chrome浏览器中,有一些关于'unsafe-inline'的例外情况。这是因为HTML中有内联的javascript和内联样式。 我设置了X-Content-Security-Policy / Content-Security-Policy以允许内联脚本等等。但是对于内联脚本,其他定义没有效果,例如为img-src设置url。
<meta http-equiv="X-Content-Security-Policy" content="default-src *; script-src 'self' 'unsafe-inline';img-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com;child-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com *.facebook.com;style-src 'self' 'unsafe-inline'">
我的问题是。有没有办法允许它?为什么不安全的内联参数不起作用?我知道CSP是为了更好的安全性,但我们有内联脚本/样式,这是购买的代码,所以我们无法改变它。 为什么我的旧页面不会影响此内容安全策略,而新的页面是新的?我可以关闭整个CSP的东西吗?
我觉得有趣的是模板很好而没有CSP的例外,但是当我在网页上使用模板时,这些都是例外。怎么可能?这可能是服务器配置吗?我使用的是Adobe CQ 6.1。
如果我不在公司的网络中,我就会遇到CSP的问题。
答案 0 :(得分:0)
问题解决了。 元标记必须添加到虚拟主机文件中的服务器配置中,如
#set内容安全策略
标头设置内容 - 安全 - 政策&#34;默认&#39;自我&#39; &#39;不安全直插&#39;&#34;