我需要在我的网站中包含这个脚本https://apis.google.com/js/api:client.js。在谷歌浏览器上它工作正常,但在Firefox(显然IE)上我收到一些错误:
内容安全策略:忽略script-src中的“'unsafe-inline'”:指定'strict-dynamic'
内容安全策略:忽略script-src中的“https:”:指定'strict-dynamic'
内容安全策略:忽略script-src中的“http:”:指定'strict-dynamic'
我尝试更改元标记中的内容安全策略标头,但它不起作用。
我尝试了所有这些:
<meta http-equiv="Content-Security-Policy" content="default-src 'none'; img-src 'self'; script-src 'self' apis.google.com; style-src 'self';">
<meta http-equiv="Content-Security-Policy" content="default-src 'self' apis.google.com">
<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' https://*.google.com; object-src 'self' 'unsafe-eval'">
<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' apis.google.com;">
您必须编辑不在HTML上的CSP标头,但在服务器HTTP标头上,您是否可以控制服务器?
Meta标签等将被忽略,因为HTTP标头优先,先修复它们。