`content-security-policy:default-src https:;`阻止内联1:1的资源加载

时间:2019-05-18 08:34:12

标签: http-headers content-security-policy

我在https://csp.rootkea.me/上设置了Content-Security-Policy: default-src https:; report-uri https://rootkea.report-uri.com/r/d/csp/enforce

每当我访问该网站时,控制台都会显示:

  

内容安全政策:该页面的设置禁止加载   内联资源(“ default-src”)。 rootkea.me:1:1

从源头可以看出,在1:1时我有<!DOCTYPE html>

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
    <meta name="generator" content="GitLab Pages">
    <title>Plain HTML site using GitLab Pages</title>
    <link rel='stylesheet' href='https://d33wubrfki0l68.cloudfront.net/css/ec5b55aee5efed4317d1380a75fc4c3df003f096/style.css'/>
  </head>
  <body>
    <div class="navbar">
      <a href="https://rootkea.me/">Home</a>
      <a href="https://blog.rootkea.me/" target="_blank">Blog</a>
    </div>

    <h1>Hello World!</h1>

  </body>
</html>

那么,我想念什么?

1 个答案:

答案 0 :(得分:0)

我的调试不佳。我应该先在新的Firefox配置文件中调试过。

无论如何,罪魁祸首是Google Analytics Opt-out Add-on (by Google)插件。我禁用了它,在控制台中不再出现CSP错误。

相关问题
最新问题