内容安全策略：“img-src 'self' data:”

Question

我有一个应用程序，用户可以在其中复制图像 URL，将其粘贴到输入中，然后图像将加载到框上。

但我的应用程序不断触发此消息：

拒绝加载图像“LOREM_IPSUM_URL”，因为它违反了以下内容安全策略指令：“img-src 'self' data:”。

这是我的元标记：

<meta http-equiv="Content-Security-Policy" content="default-src *; 
img-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' *; 
style-src  'self' 'unsafe-inline' *">

我在应用程序中使用 html2Canvas，当我删除它时：“img-src 'self' data:”

它会触发此错误：

html2canvas.js:3025 Refused to load the image 'data:image/svg+xml,
<svg xmlns='http://www.w3.org/2000/svg'></svg>' because it violates
the following Content Security Policy directive: "default-src *". 
Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.

还有一堆其他错误。

Answer 1

尝试更换这部分：

img-src * 'self' data: https:;

所以完整的标签：

<meta http-equiv="Content-Security-Policy" content="default-src *;
   img-src * 'self' data: https:; script-src 'self' 'unsafe-inline' 'unsafe-eval' *;
   style-src  'self' 'unsafe-inline' *">

Content Security Policy Reference

Answer 2

img-src * 'self' data: https:; 不是一个好的解决方案，因为它会使您的应用容易受到 XSS 攻击。这里最好的解决方案应该是：img-src 'self' data:image/svg+xml。如果它不起作用，请尝试：img-src 'self' data:如果您的指令仍然为img-src * 'self' data: https:;，请考虑更改它@

Answer 3

除了上面@manzapanza 贡献的内容之外，您还需要确保 CSP 是否尚未在您的应用程序的 Web 配置文件中配置，因为如果该设置存在，它将覆盖您在索引文件中的元标记设置如下例所示：

索引元标记：

<meta http-equiv="Content-Security-Policy" content="default-src *;img-src * 'self' data: https:; script-src 'self' 'unsafe-inline' 'unsafe-eval' *; style-src  'self' 'unsafe-inline' *">

被您的网络配置文件中的 CSP 设置覆盖。

网页配置设置：

<add name="Content-Security-Policy" value="default-src https: http: 'unsafe-inline'; img-src * 'self' data: https:;" />

在这种情况下，请考虑在系统的 Web 配置文件中主要设置一组。

Answer 4

这样就解决了问题：

img-src 'self' data:

但请确保使用分号 (;) 分隔多个指令

Answer 5

对于头盔用户。 更好的做法，而不是将 contentSecurityPolicy 设置为 false，这应该是最后一个选项。我在my app 中使用了它，它很好地解决了这个问题。我的应用托管在here。查看我的源代码here。

app.use(
  helmet.contentSecurityPolicy({
    useDefaults: true,
    directives: {
      "img-src": ["'self'", "https: data:"]
    }
  })
)