我有一个快递应用程序,正在加载一些外部资产,但是它们被CSP阻止了。我以前从未遇到过此问题,但这是我第一次在应用程序中使用passport.js和helmet.js,所以也许这与它们的配置有关?
Refused to load the image 'https://fake-url.com' because it violates the following Content Security Policy directive: "img-src 'self' data:".
我尝试添加一个meta标签以允许来自外部源的图像,但这似乎没有效果。任何帮助将不胜感激。
答案 0 :(得分:1)
你有
content="default-src 'none'
这可以防止从任何来源加载资源。删除它。
然后将其更改为:
default-src 'self' fake-url.com';
更多信息,请参见下面的HTTP Content-Security-Policy 响应标头:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy