CSP和内联脚本被阻止

时间:2019-10-14 16:36:51

标签: express security content-security-policy

努力理解CSP,获得

Refused to apply inline style because it violates the following Content Security Policy directive: "script-src 'self' https://example;"

例如,我的域为https://example.com,在我的策略中,我有script-src 'self' https://example;,但是来自https://example/static/js/19.b56ecbe.chunk.js的嵌入式脚本被阻止了。

我本以为'self'将允许脚本运行,我在这里出错了吗?

1 个答案:

答案 0 :(得分:1)

@sideshowbarker已经解释了为什么不能做到这一点,但是如果您想在页面上允许“内联脚本”,可以使用一个小的变体。

只需在您的所有nonce标签以及CSP标头本身中包含script。 请在此处查看更多详细信息:https://www.troyhunt.com/locking-down-your-website-scripts-with-csp-hashes-nonces-and-report-uri/