这种情况的两个主要嫌疑人是
另一个 CSP。如果内容被框架添加的默认 CSP 阻止,则添加另一个 CSP 无济于事。但是你的标题没有显示任何内容。
像 onclick="..." 这样的事件属性。 'unsafe-inline' 不允许这些。在 CSP 级别 3 中可以使用附加控件允许它们,但最好重写它们以使用事件侦听器。 content.js文件中出现这个有点令人费解,但可能是js文件插入了一个包含事件属性的元素。
如果这没有帮助,请尝试检查什么会触发 content.js 第 40 行的 CSP 错误。
我对 CSP 不是很熟悉,但这里有一些你可以尝试的东西:
self
标签中删除所有meta
,所以像这样:<meta http-equiv="Content-Security-Policy" content="default-src;
script-src https://js.stripe.com https://maps.googleapis.com;
connect-src https://api.stripe.com https://hooks.stripe.com https://maps.googleapis.com;
frame-src https://js.stripe.com https://hooks.stripe.com;" />
确保阅读this Stripe doc,如果您使用的是可信类型,它会提到一些警告。
仔细检查页面上没有其他策略覆盖您设置的允许列表。