我正在尝试实现内容安全策略。
除了包含外部 js 文件之外,我的 HTML 文件不包含任何 JavaScript 代码。但控制台仍然显示:
Refused to execute inline script because it violates the following Content Security Policy directive:
所以我的问题是:
包含外部 JavaScript 文件,如
<script src="https://code.jquery.com/jquery-1.12.4.js"></script>
被视为“内联脚本”?如果是这样,我该怎么做才能通过 CSP 允许这些脚本?我已经尝试使用
nonce
在我的脚本中,但它总是说:Undefined attribute name (nonce)
开发工具(例如 Google Chrome)是否提供函数来查看哪个内联脚本产生错误?
谢谢
请您参考如下方法:
- 在此上下文中,包含外部 JS 文件不被视为“内联脚本”。在
script-src
属性中指定外部源就足够了,例如script-src 'self' https://code.jquery.com/jquery-1.12.4.js
- 因为外部文件不被视为内联脚本,所以我不需要使用随机数或哈希。但提供信息here
- 在Google Chrome的开发工具中,我没有找到任何信息是哪一行或哪个外部JS文件导致了错误。相反,我使用了 Firebug。至少提到了导致错误的行。借助此帮助,您可以轻松消除被忽略的 DOM 元素。
但真正对我有帮助的是 here 。
It’s very important to always define default-src. Otherwise, the directives will default to allowing all resources
就我而言,将 default-src 'self'
添加到 CSP 可以消除错误!