Javascript 忽略内容安全策略元标记_Javascript_Html_Css_Content Security Policy

Javascript 忽略内容安全策略元标记

javascript html css

Javascript 忽略内容安全策略元标记,javascript,html,css,content-security-policy,Javascript,Html,Css,Content Security Policy,我想通过在html中使用meta标记在我的站点上启用CSP。这是我当前的标签： <meta http-equiv="Content-Security-Policy" content="default-src 'self' filesystem; style-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com/bootstrap/*; img-src 'self' filesystem ht

我想通过在html中使用meta标记在我的站点上启用CSP。这是我当前的标签：

<meta http-equiv="Content-Security-Policy" content="default-src 'self' filesystem; style-src 'self' 'unsafe-inline' https://stackpath.bootstrapcdn.com/bootstrap/*; img-src 'self' filesystem https://*; child-src 'self' https://player.twitch.tv/* https://www.twitch.tv/*; script-src 'self' https://code.jquery.com/* https://player.twitch.tv/* filesystem;">

除了提及任何外部URL之外，以上所有内容都有效。任何引导、jQuery或twitch请求都不允许通过，并且所有请求都被阻止，例如：

“拒绝加载样式表”https://stackpath.bootstrapcdn.com/bootstrap/4.5.0/css/bootstrap.min.css'因为它违反了以下内容安全策略指令：“default src'self'*.bootstrapcdn.com”。请注意，没有显式设置'style src elem'，因此将'default src'用作回退。”

你知道为什么所有文件系统的东西都被确认了，但是任何涉及外部http请求的规则都不被允许通过吗？

我怀疑添加了一个默认头，因为策略与问题中包含的策略不同。这也是其他外部请求被阻止的原因。你应该在你的问题中包括任何与你的页面一起提供的CSP，包括标题中的CSP和元数据中的CSP

浏览器实现的次要细节差别很大，这可能是文件系统适合您的原因。您应该列出您测试过的浏览器。

我只测试过chrome，我正在使用github页面和cloudflare CDN。我是通过meta标记来实现的，因为github页面不允许您添加自定义标题或任何内容