我的CSP标头看起来像这样(实际上,这只是加载图像的一部分),应该是有效的。但是Chrome抱怨说:“内容安全策略指令'img-src'的源列表包含无效的源:'data:image / svg + xml'。它将被忽略。”
img-src data:image/svg+xml 'self' https://stats.g.doubleclick.net/r/collect https://www.facebook.com/tr/ https://www.google-analytics.com/r/collect data:image/svg+xml;
它应该是有效的,我已经在网上的示例中找到了它,但是它不起作用。例如,这里建议https://security.stackexchange.com/questions/94993/is-including-the-data-scheme-in-your-content-security-policy-safe/95011#95011
请提供有效且可行的示例,我迷失了这个迷宫。
答案 0 :(得分:1)
您的示例CSP无效。根据{{3}},您应仅使用主机,架构或其他常量值。更正后,您的示例应如下所示:
img-src 'self' https://stats.g.doubleclick.net/ https://www.facebook.com/ https://www.google-analytics.com/ data:;