努力理解CSP,获得
Refused to apply inline style because it violates the following Content Security Policy directive: "script-src 'self' https://example;"
例如,我的域为https://example.com,在我的策略中,我有script-src 'self' https://example;
,但是来自https://example/static/js/19.b56ecbe.chunk.js的嵌入式脚本被阻止了。
我本以为'self'
将允许脚本运行,我在这里出错了吗?
答案 0 :(得分:1)
@sideshowbarker已经解释了为什么不能做到这一点,但是如果您想在页面上允许“内联脚本”,可以使用一个小的变体。
只需在您的所有nonce
标签以及CSP标头本身中包含script
。
请在此处查看更多详细信息:https://www.troyhunt.com/locking-down-your-website-scripts-with-csp-hashes-nonces-and-report-uri/