来源:调用eval()或CSP阻止的相关函数

时间:2018-08-22 03:51:30

标签: apache2 content-security-policy

我收到以下错误:

  

内容安全政策:该页面的设置禁止自行加载资源(“ default-src”)。来源:调用eval()或相关   功能被CSP阻止。

该站点正在运行Laravel,但我引入了一个简单的index.html来排除这种可能性:

<!DOCTYPE html>
<html lang="en">
<head>
</head>
<body>
</body>
</html>

哪个给了相同的错误。

这是httpd.conf

中的相关代码
  

httpd-2.4.6-80.el7.centos.1.x86_64

<IfModule mod_headers.c>
  <Directory />
    Header always set X-XSS-Protection "1; mode=block"
    Header always set x-Frame-Options "SAMEORIGIN"
    Header always set X-Content-Type-Options "nosniff"
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set Content-Security-Policy "default-src 'self' *.pusher.com; img-src 'self'; style-src *.fontawesome.com https://fonts.gstatic.com https://fonts.googleapis.com; font-src *.fontawesome.com https://fonts.gstatic.com;"
    Header always set Referrer-Policy "strict-origin"
  </Directory>

我也尝试使用域default-src *.domain.com;来获得相同的结果

编辑:这是您的意思吗? 这是服务器看到的index.html的“查看源代码”,通过浏览器查看该页面时显示错误。另外,由于该站点仅锁定了少数IP地址,如果注入某些内容,我会觉得很奇怪

enter image description here

1 个答案:

答案 0 :(得分:2)

问题已解决-谢谢 sideshowbarker

这是一个插件,具体Vue.js devtools

我什至没有想到插件可以做到这一点。

我现在很好奇,如果将来某个插件导致该问题,如何通知用户