Jquery CSP头和跨域Ajax调用
我的服务器my.server.com生成一个HTML页面,该页面调用另一个服务external.server.com来加载数据。 对于ajax调用,我使用jqueryJquery CSP头和跨域Ajax调用,jquery,ajax,http-headers,cross-domain,Jquery,Ajax,Http Headers,Cross Domain,我的服务器my.server.com生成一个HTML页面,该页面调用另一个服务external.server.com来加载数据。 对于ajax调用,我使用jquery $.ajax({ url:"https://external.server.com/check", dataType: 'get', success:function(json){ // do stuff with json (in this case an array)
$.ajax({
url:"https://external.server.com/check",
dataType: 'get',
success:function(json){
// do stuff with json (in this case an array)
$("userContainer").append(json);
},
error:function(){
alert("Error");
}
});
当我尝试呼叫该服务时,我收到一个浏览器错误:
Refused to connect to 'https://external.server.com/check' because it violates the following Content Security Policy directive: "default-src 'self'"
在我的HTML页面中,我加载了如下javascript资源:
<script src="webjars/jquery/1.9.1/jquery.min.js"></script>
<script src="js/custom.js"></script>
我的CSP头配置为:
<meta http-equiv="Content-Security-Policy" content="default-src my.server.com; script-src 'unsafe-inline' my.server.com; connect-src external.server.com">
<meta http-equiv="X-Content-Security-Policy" content="default-src my.server.com; script-src 'unsafe-inline' my.server.com; connect-src external.server.com">
<meta http-equiv="X-Content-Security-Policy" content="default-src my.server.com; script-src 'unsafe-inline' my.server.com; connect-src external.server.com">
<meta http-equiv="Access-Control-Allow-Origin" content="*">
我做错了什么
谢谢使用默认的src*
您可以点击下面的链接,它可能会对您有所帮助
你好,Raju,我收到了相同的错误:拒绝连接到,因为它违反了以下内容安全策略指令:default src'self'。请注意,未显式设置“connect src”,因此使用“default src”作为回退。谢谢