我在visual studio 2015专业版中创建了新的asp.net mvc 5项目 我在内容安全策略的布局中添加了元标记 -
<meta http-equiv="content-security-policy"
content="default-src 'none'; script-src 'self';
connect-src 'self'; img-src 'self'; style-src 'self';" />
现在,当我运行我的应用程序时,我在Chrome浏览器控制台中出现以下错误 -
拒绝应用内联样式,因为它违反了以下内容安全策略指令:&#34; style-src&#39; self&#39;&#34;。 “不安全 - 内联”和“不安全”。关键字,哈希(&#39; sha256-CwE3Bg0VYQOIdNAkbB / Btdkhul49qZuwgNCMPgNY5zw =&#39;)或nonce(&#39; nonce -...&#39;)是启用内联执行所必需的。 Modernizr的-2.6.2.js:157
modernizr-2.6.2.js有6个错误:157和一个与脚本有关,即拒绝加载脚本localhost
我认为我的项目中没有任何内联样式,那么为什么CSP拒绝应用错误?
答案 0 :(得分:2)
显然,modernizr要么注入带有一些CSS属性的style元素,要么注入一些style属性;你可以通过改变你的CSP政策来处理它:
<meta http-equiv="content-security-policy"
content="default-src 'none'; script-src 'self';
connect-src 'self'; img-src 'self';
style-src 'self' 'sha256-CwE3Bg0VYQOIdNAkbB/Btdkhul49qZuwgNCMPgNY5zw=';" />