我在Visual Studio 2015 Professional中创建了一个新的 asp.net mvc 5项目我已经在我的内容安全策略布局中添加了元标记,作为 -
<meta http-equiv="content-security-policy"
content="default-src 'none'; script-src 'self';
connect-src 'self'; img-src 'self'; style-src 'self';" />
现在,当我运行我的应用程序时,我在chrome浏览器控制台中出现以下错误-
拒绝应用内联样式,因为它违反了以下内容安全策略指令:"style-src 'self'"。启用内联执行需要"unsafe-inline"关键字、哈希('sha256-CwE3Bg0VYQOIdNAkbB/Btdkhul49qZuwgNCMPgNY5zw='(或随机数('nonce-...'(。 现代化-2.6.2.js:157
modernizr-2.6.2.js:157 有 6 个错误,其中一个与脚本有关,即拒绝加载脚本 localhost
我认为我的项目中没有任何内联样式,那么为什么CSP拒绝应用错误?
显然,modernizr 要么注入具有一些 CSS 属性的 style 元素,要么注入一些style属性; 您可以通过更改 CSP 策略来处理它:
<meta http-equiv="content-security-policy"
content="default-src 'none'; script-src 'self';
connect-src 'self'; img-src 'self';
style-src 'self' 'sha256-CwE3Bg0VYQOIdNAkbB/Btdkhul49qZuwgNCMPgNY5zw=';" />