我正在查看一个网站( https ://www.somestore.com),其中XHR / ajax请求 http ://www.somestore。 com被内容安全策略阻止。请注意,该站点在HTTPS下运行,而ajax请求是通过HTTP进行的。
此网站的CSP政策列出了self以及没有协议类型的商店域名:
connect-src 'self' www.somestore.com
Chrome正在报道
Refused to connect to 'http://www.somestore.com/...' because it violates the following Content Security Policy directive: "connect-src 'self' www.somestore.com.
我没有访问服务器来运行测试,但是乍一看,似乎该指令不应该干扰ajax请求,但我怀疑CSP区分HTTP和HTTPS并将它们视为不同起源。我可以在网上找到有关此信息的任何信息。
我的预感是www.somestore.com可以从指令中删除,而ajax应该更改为HTTPS,这个问题就会消失。有什么想法吗?