我几乎要放弃使用App Engine了。
当前,由于应用引擎设置了一些content-security-policy
标头,因此我无法从服务器访问任何静态文件,而在本地或计算引擎上运行这些标头时,我不会遇到这些标头。
我只是试图访问我的静态文件夹。
错误:
The Content Security Policy directive 'default-src' contains 'frame-ancestors' as a source expression. Did you mean 'default-src ...; frame-ancestors...' (note the semicolon)?
响应标题:
alt-svc: quic=":443"; ma=2592000; v="43,42,41,39,35"
content-encoding: gzip
content-security-policy: default-src 'self' frame-ancestors 'self' https://console.cloud.google.com https://*.corp.google.com:* http://*.corp.google.com:*
content-type: text/html; charset=utf-8
date: Tue, 26 Jun 2018 09:53:17 GMT
server: nginx/1.10.3
status: 404
vary: Accept-Encoding
via: 1.1 google
x-content-type-options: nosniff
x-powered-by: Express
我可以看到CSP存在问题,但是我不确定需要采取什么措施来影响这一点...
我正在使用Express和Node.js的灵活环境,并且该应用托管在https://my-project-dot-blha.appspot.com
更新: 我可以看到这很可能是语法错误,但我试图将自己设置为express,并且如果有人知道如何影响这些应用程序引擎标头,我将无法这样做!
谢谢。
答案 0 :(得分:1)
已解决!
使用App Engine网络预览时,GAE服务器设置了“内容安全策略”,我想确保您不共享或使用这些预览域。他们允许用户从控制台环境中打开它进行访问。
如果要绕过它,可以使用:https://chrome.google.com/webstore/detail/disable-content-security/ieelmcmcagommplceebfedjlakkhpden?hl=en
否则,当我将应用程序部署到产品环境中时,这个问题就不存在了!