我已将一个新应用程序部署到heroku。在chrome上,它可以按预期工作,但在Firefox中,我在控制台中收到以下错误(并且更喜欢它):
Content Security Policy: The page’s settings blocked the loading of a resource at inline (“script-src”).
这不仅烦人-由于它阻止了javascript的加载,因此该站点基本上无法在FF上使用,这显然是有问题的。根据研究建议,我无法修改heroku上的标题。
做什么?
您可以在Rails应用程序层本身中配置您的内容安全策略,因此无需按以下步骤更改Heroku配置:
# config/initializers/content_security_policy.rb
Rails.application.config.content_security_policy do |policy|
policy.default_src :self, :https
policy.font_src :self, :https, :data
policy.img_src :self, :https, :data
policy.object_src :none
policy.script_src :self, :https
policy.style_src :self, :https, :unsafe_inline
policy.report_uri "/csp-violation-report-endpoint"
end
您可以根据需要进行更改。以及更多详细信息,请参见here