我在网页上使用Content-Security-Policy:default-src 'self'标题。
Refused to load the font 'data:font/woff;base64,d09GRgABAAAAAIt0ABEAAAABQDwAAQABAAAAAAAAAAAAAAAAAAAAA…CwKGBmIIpVWLACJWGwAUVjI2KwAiNEswkKAwIrswsQAwIrsxEWAwIrWbIEKAZFUkSzCxAEAisA' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'font-src' was not explicitly set, so 'default-src' is used as a fallback.
我认为其他插件也可能发生这种情况。
您使用什么策略?
在控制台中查看包含错误的页面是一种糟糕的体验。用户不会关心这是实际页面问题还是他们喜欢的扩展"。
如我所见,此标题未被广泛使用。
答案 0 :(得分:5)
策略是保持原样。用户很少阅读控制台甚至打开devtools。您需要启用CSP,以便嵌入和扩展不会泄漏您网站上的用户信息,并将其声称为来自您网站的内容。
您可以通过window.performance.getEntriesByType("resource")查找请求并查找您不知道的资源(如CSP报告),主动提醒用户存在CSP违规行为
答案 1 :(得分:0)
添加eu-de以使用font-src,例如:
data:如果您使用CDN,请根据需要添加,例如<meta http-equiv="Content-Security-Policy" content="default-src 'self'; font-src 'self' data:;">
:
fonts.gstatic.com