Javascript 在哪里可以配置内容安全策略？

对于一个客户，我正在他们的网站上安装Facebook Pixel，以便他们收集营销统计数据。Facebook像素是通过以下Javascript在

标记中实现的：

<script>
  !function(f,b,e,v,n,t,s)
    {if(f.fbq)return;n=f.fbq=function(){n.callMethod?
    n.callMethod.apply(n,arguments):n.queue.push(arguments)};
    if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0';
    n.queue=[];t=b.createElement(e);t.async=!0;
    t.src=v;s=b.getElementsByTagName(e)[0];
    s.parentNode.insertBefore(t,s)}(window,
    document,'script',
    'https://connect.facebook.net/en_US/fbevents.js');
    fbq('init', '*****************');
    fbq('track', 'PageView');
</script>
<noscript>
  <img height="1" width="1" src="https://www.facebook.com/tr?id=***************&ev=PageView&noscript=1" />
</noscript>

我已经浏览了该网站的源代码（它是用PHP构建的），而

内容安全策略

指令在任何地方都没有配置。它也不在

.htaccess

文件中。虽然我不太确定，但这是否可以在

.htaccess

文件中完成

编辑：（添加了响应标题的图像）

从错误消息和上面的屏幕截图中可以看出，在某个地方定义了一个

内容安全策略

指令，我需要找到它，这样我就可以在那里将Facebook域列入白名单。我在想，这可能是在服务器级别的

httpd.conf

文件中完成的，我无法访问该文件，因为该网站由外部托管提供商托管

---

因此，我的问题是：如果不是在PHP代码、html

属性或

httpd.conf

文件中，可以在哪里配置

内容安全策略

指令？是否可以在其他地方执行此操作？

据我所知，只有在这些地方可以设置内容安全策略：

元标记（在您的示例中不是这种情况，因为它是一个标题）

Apache配置、apache2.conf/httpd.conf或连接到主文件的vhost/config文件之一。如果可以，请检查可用的站点

.htaccess，如果您不能直接访问apache配置，我猜这里就是这种情况

PHP的函数，如果标题是手动创建的

---

内容安全策略是否在响应头中？如果它不是作为元标记出现在HTML中的某个位置，那么它必须在Apache配置中，或者在httpd.conf中，或者在任何vhost配置中。我会仔细检查apache目录中的所有配置以确保安全。如果没有，apache和浏览器之间是否有前端服务器？他们可能正在添加标题。@jburtonev Yes CSP标题出现在响应标题中，如我添加的屏幕截图所示。AfroThundr:CSP不在HTML中，这让我认为它必须设置在服务器级别。感谢您提醒我有关vhost配置的信息。

Refused to load the script 'https://connect.facebook.net/en_US/fbevents.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' 'unsafe-eval' platform.twitter.com s3.amazonaws.com cdn.ckeditor.com cdn.syndication.twimg.com www.google-analytics.com ajax.googleapis.com player.vimeo.com".