Node.js 从Express web server加载favicon图标会导致内容安全策略冲突

当我尝试加载我正在创建的网站时，出现以下错误

拒绝加载映像“”，因为它违反了以下内容安全策略指令：“default src‘none’”。请注意，“img src”未显式设置，因此“default src”用作回退

看起来我试图修复错误时更改了X-Content-Security-Policy，但没有更改内容安全策略

我使用一个简单的Express服务器来加载页面请求

我发现了这个问题，并在Index.html中添加了一个元标记，但这并没有修复错误

这是我添加的元标记

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'">

然后我了解了哪个模块允许您设置内容安全策略。这是我的头盔密码

const csp = require('helmet-csp');

app.use(csp({
  directives: {
    defaultSrc: ["'self'"],
    scriptSrc: ["'self'"],
    connectSrc: ["'self'"],
    imgSrc: ["'self'"],
    styleSrc: ["'self'"]
  }
}));

当我运行下面的curl命令时

curl http://167.71.89.74/ --include

我明白了

HTTP/1.1 404 Not Found
Content-Security-Policy: default-src 'none'
X-Content-Security-Policy: default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'
X-WebKit-CSP: default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'
X-Content-Type-Options: nosniff
Content-Type: text/html; charset=utf-8
Content-Length: 139
Date: Fri, 09 Aug 2019 19:53:14 GMT
Connection: keep-alive

看起来我的代码正在设置X-Content-Security-Policy，但没有设置内容安全策略

---

要修复我的错误，除了X-Content-Security-Policy之外，我是否还需要做一些其他更改来设置内容安全策略？

不熟悉节点或头盔，但我可以告诉您，当设置CSP策略时，您以后不能添加会使策略松动的内容。（你可以收紧规则，但不能放松它们。）所以一旦

默认src'none'，以后添加正确的CSP不会改变任何事情，因为初始设置优先。@Stephern知道如何更改初始设置吗？在执行setHeader调用时，我尝试在我的Express代码中设置初始设置，然后我尝试使用头盔，但都不起作用。正如我所说，我不熟悉节点或头盔，所以不熟悉。对不起。深入了解节点集默认值。。。？
HTTP/1.1 404 Not Found
Content-Security-Policy: default-src 'none'
X-Content-Security-Policy: default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'
X-WebKit-CSP: default-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'
X-Content-Type-Options: nosniff
Content-Type: text/html; charset=utf-8
Content-Length: 139
Date: Fri, 09 Aug 2019 19:53:14 GMT
Connection: keep-alive