Question

所以我一直在尝试使用Google可编程搜索引擎脚本，但是我在meta标签上遇到了麻烦。我包含在其中的meta标记如下：

<meta http-equiv="Content-Security-Policy" content="script-src *.google.com 'self';">

但是，我仍然收到一个错误消息，告诉我它拒绝加载脚本，因为它违反了“ content-security-policy指令：” script-src'self'“”“

我想知道它是否从其他地方继承某种设置，因为它不接受我正在设置的新script-src，但是如果我将其设置为“ none”，它确实会接受新的script-src。

顺便说一句，我是html的新手，所以我可能会犯一些明显的错误。

Answer 1

好像您已发布了2个Content-Security-Policy。如果有多个CSP，则应采用两者中最严格的规则（所有来源/令牌均应通过未刮擦的两个CSP传递。）

内容安全政策可以通过两种方式提供：

因此，您需要在HTML代码中检查双<meta http-equiv="Content-Security-Policy"。

并在浏览器开发者工具（Chrome中为Crtl + Shift + i，Fifrefox中为Crtl + Shift + k->网络选项卡->选择HTTP）的HTTP响应标头中（因为CMS默认可以发布CSP）。左窗口并查看响应标题）：