内容安全政策不允许表单提交

Question

我在这里需要帮助。 我有一个表单提交给另一个网址，但是当我尝试提交时，它拒绝提交并检查我的控制台。

在Chrome上，我看到以下错误

  

resources2.aspx？HCCID = 75694719＆amp; culture = zh-CN＆amp; mlcv = 3006＆amp; template = 5：7拒绝加载图片“https://s4.mylivechat.com/livechat2/images/sprite.png”，因为它违反了以下内容安全策略指令：“img -src'self'数据：“。

     

拒绝将表单数据发送到“https://cipg.stanbicibtcbank.com/MerchantServices/MakePayment.aspx”，因为它违反了以下内容安全策略指令：“form-action'self'”。

在Mozilla Firefox上我看到以下内容：

  

内容安全政策：该网页的设置阻止了https://s4.mylivechat.com/livechat2/images/sprite.png处的资源加载（“img-src http://smehelp.themarketplace.ng数据：”）

     

内容安全政策：该网页的设置阻止了http://smehelp.themarketplace.ng/purchase/summary（“表单操作'自我'”）加载资源。

检查网络上的解决方案，我已将以下内容添加到我的页面标题

        <meta http-equiv="Content-Security-Policy" content="form-action 'self'">

但问题仍然存在。

这导致我无法提交表格。用于提交的表单虽然我今天刚刚尝试过并且发现了这个错误。

我在MAC OS上运行Google Chrome版本55.0.2883.95（64位）。

我将非常感谢您尽快解决此问题的任何建议。

谢谢

Answer 1

您在响应标头中传递Content-Security-Policy值：

  

base-uri＆＃39; none＆＃39 ;; default-src＆＃39; self＆＃39; https://s4.mylivechat.com;   child-src＆＃39; none＆＃39 ;; connect-src＆＃39; self＆＃39 ;; font-src＆＃39; self＆＃39;   https://fonts.googleapis.com https://maxcdn.bootstrapcdn.com   https://fonts.gstatic.com;形式行动＆＃39; self＆＃39 ;;框架 - 祖先＆＃39;无＆＃39 ;;   img-src＆＃39; self＆＃39;数据：; media-src＆＃39; self＆＃39 ;; object-src＆＃39; none＆＃39 ;;脚本-SRC   ＆＃39;自＆＃39; https://www.youtube.com https://maps.google.com   https://www.google-analytics.com https://mylivechat.com   https://s4.mylivechat.com https://maps.googleapis.com＆＃39; unsafe-inline＆＃39;   ＆＃39;不安全-EVAL＆＃39 ;; style-src＆＃39; self＆＃39; https://fonts.googleapis.com   https://s4.mylivechat.com https://maxcdn.bootstrapcdn.com   ＆＃39;不安全直插＆＃39;

您已添加到页面元的内容安全策略将被忽略，因为它存在于响应标头中。

您需要对您在回复标题中发送的CSP进行以下添加（以粗体显示）。

  

base-uri＆＃39; none＆＃39 ;; default-src＆＃39; self＆＃39; https://s4.mylivechat.com;   child-src＆＃39; none＆＃39 ;; connect-src＆＃39; self＆＃39 ;; font-src＆＃39; self＆＃39;   https://fonts.googleapis.com https://maxcdn.bootstrapcdn.com   https://fonts.gstatic.com;形式行动＆＃39; self＆＃39;   的 https://cipg.stanbicibtcbank.com/MerchantServices/MakePayment.aspx ;框架 - 祖先＆＃39;无＆＃39 ;; img-src＆＃39; self＆＃39;数据：   的 https://s4.mylivechat.com ; media-src＆＃39; self＆＃39 ;; object-src＆＃39; none＆＃39 ;; script-src＆＃39; self＆＃39; https://www.youtube.com https://maps.google.com   https://www.google-analytics.com https://mylivechat.com   https://s4.mylivechat.com https://maps.googleapis.com＆＃39; unsafe-inline＆＃39;   ＆＃39;不安全-EVAL＆＃39 ;; style-src＆＃39; self＆＃39; https://fonts.googleapis.com   https://s4.mylivechat.com https://maxcdn.bootstrapcdn.com   ＆＃39;不安全直插＆＃39 ;;

• 将https://s4.mylivechat.com添加到img-src
• 将https://cipg.stanbicibtcbank.com/MerchantServices/MakePayment.aspx添加到表单操作
• 从HTML代码中删除<meta http-equiv="Content-Security-Policy" content="form-action 'self'">