我正在使用Amazon Lightsails和nginx。我最近部署了一个项目,并且不断收到CSP错误。
我在标题上设置了<meta http-equiv="Content-Security-Policy" ....,但前端没有任何变化。然后我注意到响应包含这些标题
content-encoding: gzip
**content-security-policy**: default-src 'none'; frame-ancestors 'none'; script-src 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; form-action 'self';
content-type: text/html; charset=UTF-8
date: Sat, 30 Jun 2018 10:38:41 GMT
referrer-policy: no-referrer, strict-origin-when-cross-origin
server: nginx/1.10.3 (Ubuntu)
status: 200
strict-transport-security: max-age=15768000; includeSubdomains; preload;
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=block
请注意,这有其自己的内容安全策略规则,无论我通过我的Web应用程序的head标签如何使用,都不能覆盖它。我不知道如何设置,请问我该怎么办? 我也将letencrypt用于SSL。谢谢