我在Web应用程序中使用LuckyOrange分析工具来跟踪用户对我网站的参与。以前,它只能在localhost上运行,而不能在生产版本中使用。但是经过很长时间的研究,我发现我的网站中Content Security Policy存在问题,因此我使用以下链接中提供的必要策略附加措施解决了该问题
Necessary Policy Additions for LuckyOrange
我通过添加这些策略来使其正常工作。但是现在我在控制台中收到许多警告,例如
* 1。拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“ script-src'self'https://d10 ****** 8c69.cloudfront.net blob:www.google-analytics.com {{3 }} https://www.youtube.com/iframe_api ***** 8c69.cloudfront.net/w.js https://d10lp https://s.ytimg.com”。要启用内联执行,需要使用'unsafe-inline'关键字,哈希('sha256-C7pACm3M ******** t0FAuuvIc1PLz0ok3K02RrHnNvQ =')或随机数('nonce -...')。* < / p>
* 2。 platform.dom.js:308拒绝应用内联样式,因为它违反了以下“内容安全策略”指令:“ default-src'self'”。要启用内联执行,需要使用关键字“ unsafe-inline”,哈希(“ sha256-47DEQpj8HBSa + / TI ******** QeRkm5NMpJWZG3hSuFU =”)或随机数(“ nonce -...”)。还要注意,“ style-src”未明确设置,因此,“ default-src”用作后备。*
* 3。拒绝加载样式表'https://client.relay.crisp.chat/ **** 8c69.cloudfront.net/css/reset.css',因为它违反了以下内容安全策略指令:“ default-src'self' ”。请注意,没有显式设置'style-src-elem',因此'default-src'用作后备。*
所以我收到了很多这样的警告。我该如何解决这个问题?
这就是我在网站上给出内容安全政策的方式
headers {
contentSecurityPolicy = "default-src 'self'; connect-src 'self' https://settings.luckyorange.net wss://*.visitors.live https://pubsub.googleapis.com wss:; img-src 'self' data: www.google-analytics.com; script-src 'self' https://d10lpsik1i8c69.cloudfront.net blob: www.google-analytics.com https://www.youtube.com/iframe_api https://d10lpsik1i8c69.cloudfront.net/w.js https://s.ytimg.com https://client.relay.crisp.chat/; frame-src https://www.youtube.com/ ;" #FIX ME: Add correct content security policy dependign on your application. Defaul: "default-src 'self'"
}
这里似乎是什么问题?