我正在使用以下脚本:
<script src='https://www.google.com/recaptcha/api.js'></script>
<div class="g-recaptcha" data-sitekey="MYKEY"></div>
原因
[错误]内容安全策略指令的源列表 'script-src'包含无效来源:“ strict-dynamic”。它会 被忽略。 (x4)
我尝试添加CSP以防止这种情况发生。不过,它仅在Safari中发生。
CSP作为元标记添加到:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' https://google.com https://google-statistics.com;font-src *.bootstrapcdn.com *.gstatic.com; script-src 'strict-dynamic' 'unsafe-inline' 'self' * ; img-src *; style-src 'self' * 'unsafe-inline'; child-src 'self' https://www.google.com ; connect-src https://google-analytics.com;">
我知道它看起来并不安全,我只想首先使此验证码生效,然后将风险降到最低。