内容安全策略:页面的设置阻止了资源的加载
我在页面加载时使用validation码,但由于某些安全原因它会阻塞
我面临问题:
内容安全政策:该网页的设置阻止了http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit(“script-src http://test.com:8080”)加载资源unsafe-inline''unsafe-eval'“)。
我使用了以下js和meta标签:
您已经说过只能从自己的站点加载脚本(自己)。 然后,您尝试从其他网站(www.google.com)加载脚本,因为您已限制此脚本,所以您不能。 这就是内容安全策略(CSP)的重点。
您可以将第一行更改为:
或者,在您了解有关CSP的更多信息之前,可能需要完全删除该行。
您可以在浏览器中禁用它们。 火狐
在FireFox地址栏中输入about:config并找到security.csp.enable并将其设置为false
Chrome您可以安装名为Disable Content-Security-Policy的扩展程序来禁用CSP
有类似的错误类型。 首先,我尝试在代码中添加元标记,但它不起作用。
我发现在nginx webserver上你可能有一个安全设置可能会阻止外部代码运行:
#security directives server_tokens off; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://ajax.googleapis.com https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://assets.zendesk.com; font-src 'self' https://fonts.gstatic.com https://themes.googleusercontent.com; frame-src https://player.vimeo.com https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'";
检查Content-Security-Policy,您可能需要添加源参考。