如何修复内容安全策略错误？

第一个脚本不违反内容安全策略

政策说：

script-src 'unsafe-eval' 'unsafe-inline' data:;

您使用以下命令加载脚本：

<script src="js/video.min.js"></script>

那么，让我们依次检查一下：

• 是

  unsafe-eval

  吗？不，您没有使用

  eval()

  或类似的东西来加载脚本。这是一个

  src

  属性。
• 是

  unsafe-inline

  吗？不，它不是内联的；这是一个

  src

  属性。
• 是

  data:

  吗？不可以。它是相对 URL，不能相对于 data: schema URL。您可能正在使用

  http:

  。

所以它肯定确实违反了CSP。

您可能想将

'self'

添加到允许的来源。

---

就 CSS 中的字体而言，浏览器中似乎存在一个错误，因为没有看起来像“font-src *”的 CSP 指令 - 所以，浏览器以某种方式覆盖了这个 CSP（或者它只是一个错误） ).

对此最可能的解释是，您通过 HTTP 标头 和

<meta>

提供 CSP，并且 HTTP 标头具有优先级（因为规范要求这样做）。