Javascript CSP使用oidc-client.js检查会话时出现问题_Javascript_Identityserver4_Content Security Policy_Openid Connect_Oidc Client Js

Javascript CSP使用oidc-client.js检查会话时出现问题

javascript identityserver4

Javascript CSP使用oidc-client.js检查会话时出现问题,javascript,identityserver4,content-security-policy,openid-connect,oidc-client-js,Javascript,Identityserver4,Content Security Policy,Openid Connect,Oidc Client Js,我正在使用oidc客户端构建SPA，以登录到使用Identity Server 4构建的IDP 登录重定向似乎工作正常，但在Firefox上我遇到了以下CSP问题我没有在我的SPA上设置任何CSP元标记，我想知道我是否必须这样做。稍微挖掘一下，似乎oidc客户端正在向我的应用程序中添加一个iframe，它指向Identity Server中的checksession页面（其中确实包含CSP标题“default src'none”；script src'safe inline''sha256

我正在使用oidc客户端构建SPA，以登录到使用Identity Server 4构建的IDP

登录重定向似乎工作正常，但在Firefox上我遇到了以下CSP问题

我没有在我的SPA上设置任何CSP元标记，我想知道我是否必须这样做。稍微挖掘一下，似乎oidc客户端正在向我的应用程序中添加一个iframe，它指向Identity Server中的checksession页面（其中确实包含CSP标题“default src'none”；script src'safe inline''sha256-VDXN0nOpFPQ102CIVz+eimHA5e+WTEOUQJ5ZYBTN8W=”）

有人能帮我解决这个问题，或者引导我走向正确的方向吗？我对CSP的了解非常基础。

是Redux devtools插件试图在页面上注入代码。

我碰巧正在诊断完全相同的问题。我们正在体验chrome中的行为。我刚刚更新了IDSrvr4。可能与……有关。或者这个。。当toke过期时关闭应用程序时，您是否也会在signinSilent中遇到“帧窗口超时”？打开这个。。

Content Security Policy: Ignoring "'unsafe-inline'" within script-src or style-src: nonce-source or hash-source specified  (unknown)
Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src 'unsafe-inline' 'sha256-VDXN0nOpFPQ102CIVz+eimHA5e+wTeoUUQj5ZYbtn8w='"). Source: !function(t){function __webpack_require_....  checksession:1
Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src 'unsafe-inline' 'sha256-VDXN0nOpFPQ102CIVz+eimHA5e+wTeoUUQj5ZYbtn8w='"). Source: window.devToolsOptions = Object.assign(w....  checksession:1
Load denied by X-Frame-Options: http://localhost:5007/home/error?errorId=a74accc61bb821ee1f42f7013a306e90 does not permit cross-origin framing.  (unknown)