内容安全政策:“img-src'自我'数据:”

时间:2016-11-01 12:30:35

标签: html canvas ionic-framework content-security-policy

我有一个应用程序,用户可以复制图像URL,将其粘贴到输入中,图像将被加载到一个盒子上。

但我的应用程序,继续触发此消息:

Refused to load the image 'LOREM_IPSUM_URL' because it violates 
the following Content Security Policy directive: "img-src 'self' data:".

这是我的元标记:

    <meta http-equiv="Content-Security-Policy" content="default-src *; 
img-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' *; 
style-src  'self' 'unsafe-inline' *">

我在应用程序中使用html2Canvas,当我删除它时:“img-src'seld'data:”

它触发了这个错误:

html2canvas.js:3025 Refused to load the image 'data:image/svg+xml,
<svg xmlns='http://www.w3.org/2000/svg'></svg>' because it violates
the following Content Security Policy directive: "default-src *". 
Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.

除了一堆其他错误......

2 个答案:

答案 0 :(得分:41)

尝试更换此部分:

img-src * 'self' data: https:;

所以完整的标签:

<meta http-equiv="Content-Security-Policy" content="default-src *;
   img-src * 'self' data: https:; script-src 'self' 'unsafe-inline' 'unsafe-eval' *;
   style-src  'self' 'unsafe-inline' *">

Content Security Policy Reference

答案 1 :(得分:9)

img-src * 'self' data: https:;并不是一个好的解决方案,因为它会使您的应用容易受到XSS攻击。最好的解决方案应该是:img-src 'self' data:image/svg+xml。如果不起作用,请尝试:img-src 'self' data:如果您的指令仍为img-src * 'self' data: https:;

,请考虑对其进行更改