我已经交换到现在托管在npm上的新Cordova插件,并且白名单插件生成了“No Content-Security-Policy”元标记错误,所以我想我会尝试其中一个记录的元标记听起来喜欢它会允许任何请求通过。这是我在documentation:
中使用的内容<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">
使用该元标记,我调用第三方API来获取javascript资源,这就是我现在得到的错误:
Refused to load the script https://example.net/path/control.ashx?querystring=value because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' 'unsafe-eval'
答案 0 :(得分:0)
尝试:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *; script-src 'self' https://domain.net">
允许脚本请求为“https://domain.net”。有关此问题的文档可以是found here。如果从网络中提取数据,您可能还需要查看connect-src。
答案 1 :(得分:0)
为了使其全局允许任何请求,此解决方案最终为我工作:
<meta http-equiv="Content-Security-Policy" content="default-src *; style-src * 'unsafe-inline'; script-src * 'unsafe-inline' 'unsafe-eval';">
从unsafe-inline
省略unsafe-eval
和script-src
对我不起作用。