Apache2 来源：调用eval（）或被CSP阻止的相关函数

我收到以下错误：

内容安全策略：页面设置阻止在self加载资源（“默认src”）。来源：调用eval（）或相关函数 功能被CSP阻止

该网站正在运行Laravel，但我引入了一个简单的

index.html

来排除这种可能性：

<!DOCTYPE html>
<html lang="en">
<head>
</head>
<body>
</body>
</html>

我还尝试使用我的域

default src*.domain.com具有相同的结果

编辑：这就是你的意思吗？
这是服务器看到的“index.html”的“查看源”，通过浏览器查看该页面时会出现错误。此外，由于该网站只锁定了少数几个IP地址，我会发现，如果有什么东西被注入，这是非常奇怪的

问题已解决-谢谢sideshowbarker

它是一个插件，
Vue.js devtools
，具体来说

我甚至没想到插件能做到这一点

不过，我现在很好奇，如果插件在将来导致该问题，如何通知用户
您似乎需要查看通过网络发送的实际HTML文档，而不是服务器端维护的源。和/或禁用所有扩展。因为浏览器发出问题中引用的错误消息的唯一方式是，如果服务器端系统中存在导致浏览器最终从服务器接收到的HTML文档中注入JavaScript的内容，或者安装了将JavaScript注入文档的扩展。或者你真的遇到了某种MITM攻击。嘿，谢谢你的回复。我已经对这篇文章进行了编辑。这就是你的意思吗？谢谢你更新这个问题。我看到显示的屏幕截图来自Firefox开发工具。你能在Chrome或Safari中重现错误吗？如果没有，您是否尝试过在Firefox中禁用扩展？
<IfModule mod_headers.c>
  <Directory />
    Header always set X-XSS-Protection "1; mode=block"
    Header always set x-Frame-Options "SAMEORIGIN"
    Header always set X-Content-Type-Options "nosniff"
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set Content-Security-Policy "default-src 'self' *.pusher.com; img-src 'self'; style-src *.fontawesome.com https://fonts.gstatic.com https://fonts.googleapis.com; font-src *.fontawesome.com https://fonts.gstatic.com;"
    Header always set Referrer-Policy "strict-origin"
  </Directory>