我尝试在仅报告模式下为Angular应用程序启用内容安全策略,但是当我尝试通过元标记注入它时,我在Chrome(v64)中收到了一条禁止的消息。
<meta http-equiv="Content-Security-Policy-Report-Only" content="default-src 'self'" />
仅限报告的内容安全政策&#39; default-src&#39; self&#39;&#39;是通过一个不允许的元素传递的。该政策被忽略了。
我还尝试使用Edge(v41)和Firefox(v59),其中没有错误但也没有控制台输出。我错过了配置步骤还是有解决方法?
答案 0 :(得分:0)
只能使用HTTP响应标头指定Content-Security-Policy-Report-Only策略。 CSP spec explicitly disallows if from from being specified with a meta element:
注意:
Content-Security-Policy-Report-Only元素中不支持meta标头。report-uri,frame-ancestors和sandbox指令都不是。
除了使用HTTP响应标头指定它之外,没有其他解决方法。
答案 1 :(得分:0)
旧线程,但是在Angular 8中,添加了元Content-Security-Policy确实会将任何错误报告给Chrome调试器工具中的控制台。我将其添加到index.html文件。