由于内容安全策略设置存在问题,我一直遇到脚本无法加载的问题,并且想知道是否有办法设置内容安全策略,以便下载脚本可以访问所有网站?
答案 0 :(得分:1)
如果您不确定自己需要什么样的内容安全政策,那么从一个非常宽松的政策开始就没关系(这至少比完全没有政策更好)并改进它。
例如,
Content-Security-Policy: default-src 'self'; script-src *
允许您从任何地方包含脚本,但只包括来自您自己网站的所有其他内容,例如图片。
我还建议您从Content-Security-Policy-Report-Only开始,它报告错误但不阻止内容。这样,您可以在执行之前安全地测试和优化策略。
例如参见Scott Helme的博客文章 https://scotthelme.co.uk/content-security-policy-an-introduction/