在盲目启用之前,您应该先尝试了解 CSP 的工作原理。检查https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP。
在您的代码中,您正在应用内联样式。这些样式直接注入到 HTML 标记中。除非明确启用,否则内容安全策略不允许这样做。
因此,要修复您的代码,请添加
'unsafe-inline'<meta http-equiv="Content-Security-Policy" content="default-src '*'; style-src 'self' 'unsafe-inline' cdn.jsdelivr.net; script-src *; object-src *; img-src *; media-src *; report-src *; connect-src *">
或者,更好的方法:将 CSS 移动到不同的文件或样式标签。
话虽如此,您现在拥有的 CSP 标头没有多大意义。您基本上只限制样式起源,而不限制其他任何内容(例如脚本)。 CSP 用于限制 XSS 漏洞利用时可能造成的损害,因此仅限制样式来源并不能帮助您解决此问题。