由于内容安全策略设置的问题,脚本无法加载,我一直在想是否有办法设置内容安全策略,以便所有网站都可以访问下载脚本?
如果您不确定您到底需要什么内容安全策略,那么可以从一个非常宽松的策略开始(这至少比根本没有策略要好)并对其进行改进。
例如,
Content-Security-Policy: default-src 'self'; script-src *
将允许您包含来自任何地方的脚本,但其他所有内容,例如图像,仅来自您自己的网站。
我还建议您从"仅内容安全策略报告"开始,它报告错误但不阻止内容。这样你就可以在执行政策之前安全地测试和完善政策
例如,请参阅Scott Helme的博客文章https://scotthelme.co.uk/content-security-policy-an-introduction/