我正在使用csp标头保护我的页面。我同时设置了X-Content-Security-Policy和X-Webkit-CSP。到以下值:
default-src 'self';
object-src 'none';
frame-src 'self' *.youtube.com;
style-src 'self' https://ajax.googleapis.com;
script-src 'self' https://ajax.googleapis.com;
report-uri /csp_report
一切都很好,但是我在Chrome中遇到错误。我还没有在其他浏览器中测试它。
Refused to apply inline style because it violates the following Content
Security Policy directive: "style-src 'self' https://ajax.googleapis.com".
引用当前域上的脚本中的一行,它试图插入一些包含内联样式的HTML。有没有办法允许我在script-src中使用白名单的脚本来执行此操作?我在jQuery上遇到了同样的错误,托管在ajax.googleapis.com上。
答案 0 :(得分:3)
我忽略了'unsafe-inline'。我允许加载的资源可以使用内联样式:
style-src 'unsafe-inline'