我有以下 CSP 标头:
script-src 'self' *.google.com *.googletagmanager.com *.google-analytics.com 'nonce-XXXXXX'; style-src 'self' '不安全内联' *.googleapis.com *.gstatic.com; img-src '自我' *.google-analytics.com;字体-src https://fonts.gstatic.com/;对象-src“无”; connect-src 'self' wss:;框架祖先“无”;报告-uri XXXX;
该网站目前正在运行
剧本:
<script async defer src="https://www.google.com/recaptcha/api.js?render=explicit"
nonce="XXXXXX"></script>
加载包含验证码的页面或提交表单后,我收到一堆报告,其中包含以下错误:
blocked-uri eval
column-number 8
document-uri https://127.0.0.1/test/
line-number 27
original-policy script-src 'nonce-06119715-2ed2-42ae-99b1-edf58ab76283' 'nonce-8834c239-fa22-4e70-965d-8134dc20ae4e'; style-src 'self'; img-src 'self'; font-src https://fonts.gstatic.com/; object-src 'none'; report-uri https://127.0.0.1/test/csp-report
referrer
source-file blob:https://127.0.0.1/47fba858-3af0-4468-a1fe-32e077414fc1
violated-directive script-src
如果我允许“不安全内联”,报告就会消失。我究竟做错了什么?
我按照页面上的说明操作带有内容安全策略的reCAPTCHA,但没有成功。
为什么您不简单地使用 Google reCAPTCHA 随机数,无需在内容安全策略 (CSP) 中允许不安全评估。 ?