作为客户新安全要求的一部分,我在Liferay应用程序中添加了“内容安全策略”:
response.setHeader(
"Content-Security-Policy",
"default-src 'none'; script-src 'unsafe-inline' *.googleapis.com; style-src 'self' *.googleapis.com;font-src 'self' *.gstatic.com;connect-src ; img-src 'self' data:;base-uri 'none';frame-ancestors 'none';");
但我收到了以下错误
拒绝加载脚本'http://localhost:8080/o/js_loader_modules?t=1536146336645',因为它违反了以下内容安全策略指令:“script-src'unsafe-inline'* .googleapis.com”。
本地服务器启动并运行localhost:8080。怎么解决这个?
看起来CSP阻止你自己的脚本加载,只允许来自<script>的内联googleapis.com标签。您应该尝试将'self'添加到CSP规则中,因为这意味着您可以使用自己域中的脚本。
script-src 'self' 'unsafe-inline' *.googleapis.com;