我有一个express应用程序正在加载一些外部资产,但它们被CSP阻止了。我以前从未遇到过这个问题,但这是我第一次在应用程序中使用passport.js和helmet.js,所以这可能与它们的配置有关?
Refused to load the image 'https://fake-url.com' because it violates the following Content Security Policy directive: "img-src 'self' data:".
我试着添加一个元标签来允许来自外部来源的图像,但这似乎没有效果。如有任何帮助,我们将不胜感激。
您有
content="default-src 'none'
这样可以防止从任何来源加载资源。移除它。
然后将其更改为:
default-src 'self' fake-url.com';
有关以下HTTP内容安全策略响应标头的更多信息:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
https://content-security-policy.com/