Javascript Firefox和Chrome中的内容安全策略错误_Javascript_Http Headers_Content Security Policy

Javascript Firefox和Chrome中的内容安全策略错误

javascript

Javascript Firefox和Chrome中的内容安全策略错误,javascript,http-headers,content-security-policy,Javascript,Http Headers,Content Security Policy,在我的代码中，我设置了以下内容： response.setHeader("Content-Security-Policy", "default-src 'self'"); 这在Internet Explore中非常有效在Chrome中，我得到以下错误：拒绝执行内联脚本，因为它违反了以下内容安全策略指令：“default src‘self’”。启用内联执行需要'unsafe inline'关键字、哈希（'sha256-3o30MP9eULqjOPAYfNq0dz2I/NLmIV2JYJR7D

在我的代码中，我设置了以下内容：

response.setHeader("Content-Security-Policy", "default-src 'self'");

这在Internet Explore中非常有效

在Chrome中，我得到以下错误：

拒绝执行内联脚本，因为它违反了以下内容安全策略指令：“default src‘self’”。启用内联执行需要'unsafe inline'关键字、哈希（'sha256-3o30MP9eULqjOPAYfNq0dz2I/NLmIV2JYJR7D96q+wM='）或nonce（'nonce-…'）。还请注意，没有显式设置“script src”，因此使用“default src”作为回退**

在Firefox中，我遇到以下错误：

内容安全策略：页面设置阻止在内联（“默认src”）加载资源

我尝试添加不安全的内联关键字，该关键字在Chrome中有效，但在Firefox中不起作用。

当您遇到以下情况时：

default-src 'self'

这意味着您只允许来自域的脚本。例如：

<script src='/js/example.js'></script>

这在Chrome和Firefox中都有效，因此您需要提供更多关于您在Firefox中尝试了什么以及出现了什么错误的详细信息，以便进一步调查

请注意，这否定了使用内容安全策略的许多好处——因此名称上是不安全的——因为任何试图在您的页面上添加JavaScript的人（CSP设计的主要目的是防止）仍然能够添加自己。理想情况下，您应该将所有内联脚本移动到.js文件中，并以这种方式引用它们，因为将文件添加到您不控制的域比将脚本添加到您不控制的页面要困难得多。如果这是不可能的，那么还有更高级的方法，如错误消息所暗示的nonce和hash。

在下面尝试：response.setHeader（“内容安全策略”），“默认src'none'；脚本src'self'”不安全内联“'safe eval'；连接src'self'；img src'self'；样式src'self'”不安全内联“；对象src'none'；框架src'none'；字体src'self”）；response.setHeader（“内容安全策略”，“默认src'none'；脚本src'self'”不安全内联“不安全eval'；连接src'self'；img src'self'；样式src'self'”不安全内联“；对象src'none'；框架src'none'；字体src'self'）在firefox/safari中，它一直在等待本地主机，而在控制台中什么也没有。

<script src='https://www.example.com/js/example.js'></script>

<script>
Some JavaScript
</script>

default-src 'self' 'unsafe-inline'