Question

我是内容安全政策的新手，正在尝试应用类似的政策 Google Fonts violates Content Security Policy 到引用google样式表的页面：https://fonts.googleapis.com/css?family=Raleway:300,400,700

我遇到的问题是在chrome中，开发人员工具控制台告诉我style-src规则没有设置，它默认为default-src。在IE中，我没有得到这些警告。

这是控制台错误：

拒绝加载样式表＆＃39; https://fonts.googleapis.com/css?family=Raleway:300,400,700＆＃39;因为它违反了以下内容安全策略指令：＆＃34;默认-src＆＃39; self＆＃39;＆＃34;。请注意＆＃39; style-src＆＃39;没有明确设置，所以＆＃39; default-src＆＃39;被用作后备。

这是我用fiddler捕获的标题：内容安全政策：default-src＆＃39; self＆＃39; https :; script-src＆＃39; self＆＃39; ＆＃39;随机数-Ab4J0bSR7xiEFldCemz9＆＃39; ＆＃39; unsafe-eval＆＃39 ;; object-src＆＃39; self＆＃39;; style-src＆＃39; self＆＃39; ＆＃39;不安全直插＆＃39; ＆＃39;随机数-zGkHV0PmcLCJKhMH6H8V＆＃39; https :; font-src＆＃39; self＆＃39; https：data：

这是浏览器问题吗？

Answer 1

原来我在自定义标题中有一个额外的声明是冲突的。

<httpProtocol>
  <customHeaders>
    <add name="Content-Security-Policy" value="default-src 'self';" />
  </customHeaders>
</httpProtocol>

删除后，恢复到清除标签后问题就消失了。

Chrome控制台中的内容安全策略错误

1 个答案: