使用
打开CSP标头后Header always set Content-Security-Policy "default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com"`
在Apache中,所有浏览器都显示我的页面正常,但Microsoft Edge不再正确呈现HTML5 meter元素,并在控制台中显示许多CSP14312错误,告诉我style-src 'self' https://fonts.googleapis.com inline style违反了CSP标头中的指令,即使页面上没有内联样式。
不幸的是,我无法确定违规发生的确切位置。我的页面使用谷歌字体(远程),我也在服务器上本地存储了字体真棒。如果有人愿意看一下,https://smares.de/就是网址。
你知道Edge的问题是什么吗?
答案 0 :(得分:1)
我开始逐行删除,出于某种奇怪的原因,Edge似乎不喜欢HTML5 meter元素。如果我删除meter元素,它就会停止抱怨。它还会针对<meter...>发出一个警告,并针对</meter>发出一个警告。