Chrome 控制台中的内容安全策略错误

【问题标题】:Content Security Policy Error in Chrome ConsoleChrome 控制台中的内容安全策略错误
【发布时间】:2017-10-26 15:35:02
【问题描述】:

我是内容安全政策的新手,我正在尝试应用类似的政策 Google Fonts violates Content Security Policy 到引用来自 google 的样式表的页面:https://fonts.googleapis.com/css?family=Raleway:300,400,700

我遇到的问题是,在 chrome 中,开发人员工具控制台告诉我未设置 style-src 规则,它默认为 default-src。在 IE 中,我没有收到这些警告。

这是控制台错误:

拒绝加载样式表“https://fonts.googleapis.com/css?family=Raleway:300,400,700”,因为它违反了以下内容安全策略指令:“default-src 'self'”。请注意,'style-src' 没有显式设置,因此 'default-src' 用作备用。

这是我用 fiddler 捕获的标题: 内容安全策略:default-src 'self' https:;script-src 'self' 'nonce-Ab4J0bSR7xiEFldCemz9' 'unsafe-eval';object-src 'self';style-src 'self' 'unsafe-inline' 'nonce-zGkHV0PmcLCJKhMH6H8V' https:;font-src 'self' https: 数据:

这是浏览器的问题吗?

【问题讨论】:

    标签: google-chrome-devtools content-security-policy


    【解决方案1】:

    原来我在自定义标头中有一个额外的声明是冲突的。

    <httpProtocol>
  <customHeaders>
    <add name="Content-Security-Policy" value="default-src 'self';" />
  </customHeaders>
</httpProtocol>

    删除它并恢复为清晰标签后,问题就消失了。

    【讨论】:

      猜你喜欢
      • 2020-04-11
      • 2014-06-06
      • 2013-02-01
      • 1970-01-01
      • 1970-01-01
      • 2015-09-17
      • 1970-01-01
      • 1970-01-01
      • 2021-09-24
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode