谷歌浏览器在 Angular 应用程序中“拒绝加载脚本”错误

时间:2021-01-26 19:25:56

标签: javascript angular typescript google-chrome asp.net-core

即使使用隐身窗口,我在 Chrome Dev Console 上也观察到以下错误:

拒绝加载脚本“https://localhost:5001/_framework/aspnetcore-browser-refresh.js”,因为它违反了以下内容安全策略指令:“script-src 'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kOV0zoeok2tiV23I ='”。请注意,'script-src-elem' 未明确设置,因此使用 'script-src' 作为后备。

我查看了原因,并报告了常见的浏览器扩展程序,但在隐身窗口中,没有任何扩展程序等。那么,是否有与该问题相关的修复程序?

1 个答案:

答案 0 :(得分:0)

尝试更改安全策略,例如:

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' https://localhost:5001 'unsafe-inline'; script-src 'self' http://* 'unsafe-inline' 'unsafe-eval'" />

或者只是

<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://localhost:5001 'unsafe-inline' 'unsafe-eval'" />

Chrome 具有 CSP(内容安全政策)。

<块引用>
  • 您不能在 Chrome 应用页面中使用内联脚本。该限制同时禁止块和事件处理程序 ()。
  • 您不能在任何应用文件中引用任何外部资源(视频和音频资源除外)。您不能在 iframe 中嵌入外部资源。
  • 您不能使用字符串到 JavaScript 的方法,例如 eval() 和 new Function()。

这是政策价值:

default-src 'self';
connect-src * data: blob: filesystem:;
style-src 'self' data: 'unsafe-inline';
img-src 'self' data:;
frame-src 'self' data:;
font-src 'self' data:;
media-src * data: blob: filesystem:;

More infomation

相关问题
最新问题