在Meteor中设置child-src CSP

时间:2015-12-10 23:33:51

标签: meteor

我正在使用Meteor的浏览器策略包在我的应用中维护CSP。 最近我从其他域加载了一些脚本,启动Web Worker来运行其他脚本(blob)。

然后我收到以下错误(最新的Chrome):

Refused to create a child context containing 'blob:http%3A//localhost%3A3000/6057c8e1-a4ed-4d5e-ac97-230d5b1e99f3' because it violates the following Content Security Policy directive: "default-src 'self' ... list of all allowed domains... . Note that 'child-src' was not explicitly set, so 'default-src' is used as a fallback.

如何为我的应用请求设置child-src?我应该手动完成还是有更简单的方法吗?

谢谢!

1 个答案:

答案 0 :(得分:2)

您可以安装软件包browser-policy来解决此问题。

meteor add browser-policy

然后您可以在服务器代码中添加它:

BrowserPolicy.content.allowOriginForAll('blob:');