我在https://observatory.mozilla.org/analyze.html?host=michael.walter.berlin上查看了我的网站,并且总是说我没有实现CSP-Header。我实现了它,可以在Google Chrome的标题中看到,甚至可以在Mozilla的网站上看到。
我的.htaccess正在设置标题,如下所示:
[...]
Header set X-Content-Security-Policy "default-src 'self';style-src 'self' https://fonts.googleapis.com;font-src 'self' https://fonts.gstatic.com;script-src 'self' https://oss.maxcdn.com;"
[...]
mozilla天文台的输出是
X-Content-Security-Policy: default-src 'self';style-src 'self' https://fonts.googleapis.com;font-src 'self' https://fonts.gstatic.com;script-src 'self' https://oss.maxcdn.com;
当我违反这些规则时,我的浏览器会识别CSP-Header并在控制台中显示错误。
谁能告诉我我做错了什么? 提前谢谢。