我遇到了一个令人惊讶的问题。如果我没有启用我的CSP配置,没问题,一切正常。但是当我激活CSP时,内部链接正常工作,但不是外部链接。在我的网站上,(例如这里,https://www.matosmaison.fr/avis/perceuses-visseuses/ryobi-rpd1200k)我有亚马逊,zanox和其他类似的链接。使用CSP时,这些链接不起作用。
这个配置中我的错误是什么?
"csp": {
"defaultSrc": [
"'self'",
"www.matosmaison.fr",
"cdn.matosmaison.fr",
"www.google-analytics.com",
"images-na.ssl-images-amazon.com",
"youtube.com",
"www.youtube.com",
"googleads.g.doubleclick.net"
],
"scriptSrc": [
"'self'",
"www.matosmaison.fr",
"cdn.matosmaison.fr",
"www.google-analytics.com",
"images-na.ssl-images-amazon.com",
"youtube.com",
"www.youtube.com",
"googleads.g.doubleclick.net"
],
"styleSrc": [
"'self'",
"www.matosmaison.fr",
"cdn.matosmaison.fr",
"www.google-analytics.com",
"images-na.ssl-images-amazon.com",
"youtube.com",
"www.youtube.com",
"googleads.g.doubleclick.net",
"'unsafe-inline'"
],
"fontSrc": [
"'self'",
"www.matosmaison.fr",
"cdn.matosmaison.fr",
"www.google-analytics.com",
"images-na.ssl-images-amazon.com",
"youtube.com",
"www.youtube.com",
"googleads.g.doubleclick.net",
"'unsafe-inline'"
],
"imgSrc": [
"'self'",
"www.matosmaison.fr",
"cdn.matosmaison.fr",
"www.google-analytics.com",
"images-na.ssl-images-amazon.com",
"youtube.com",
"www.youtube.com",
"googleads.g.doubleclick.net",
"data:"
],
"sandbox": ["allow-forms", "allow-scripts", "allow-same-origin", "allow-top-navigation"],
"reportUri": "/report-violation",
"objectSrc": []
}
我尝试过添加amazon,zanox和其他功能但没有任何变化,但它无法正常工作。
提前致谢!
答案 0 :(得分:3)
好的,我找到了解决方案。打开一个新的“_blank”选项卡被视为打开一个弹出窗口。因此,在沙盒模式下,您可以拥有此消息
在新窗口中阻止打开“[您的链接]”,因为请求是在沙盒框架中进行的,其中“allow-popups”权限未设置。
您可以使用简单的JS命令重现:
window.open('[your link]', '_blank')
要修复它,您需要添加此部分:
"sandbox": ["allow-popups"]
或使用值“allow-popups”完成沙箱部分。