第一个脚本不违反内容安全策略
政策说:
script-src 'unsafe-eval' 'unsafe-inline' data:;
您使用以下命令加载脚本:
<script src="js/video.min.js"></script>
那么,让我们依次检查一下:
unsafe-eval
吗?不,您没有使用 eval()
或类似的东西来加载脚本。这是一个 src
属性。unsafe-inline
吗?不,它不是内联的;这是一个 src
属性。data:
吗?不可以。它是相对 URL,不能相对于 data: schema URL。您可能正在使用 http:
。所以它肯定确实违反了CSP。
您可能想将
'self'
添加到允许的来源。
就 CSS 中的字体而言,浏览器中似乎存在一个错误,因为没有看起来像“font-src *”的 CSP 指令 - 所以,浏览器以某种方式覆盖了这个 CSP(或者它只是一个错误) ).
对此最可能的解释是,您通过 HTTP 标头 和
<meta>
提供 CSP,并且 HTTP 标头具有优先级(因为规范要求这样做)。