我目前正在尝试通过.htaccess文件设置我的内容安全策略。
至于script-src,到目前为止,我的工作非常顺利:
Header always set Content-Security-Policy-Report-Only: " script-src 'unsafe-inline' 'unsafe-eval' https://example.com:443 https://ajax.googleapis.com:443 https://ajax.cloudflare.com:443 https://v2.zopim.com:443"
但是,尽管也包含了https://example.com/pagespeed_static/js_defer.I4cHjq6EEP.js之类的脚本并将其放置在子文件夹中,但并未包含诸如https://v2.zopim.com/bin/v/widget_v2.257.js之类的pagespeed静态文件。
这与服务器上的/ pagespeed_static /文件夹确实不存在有关吗?至少不通过ftp。