我正在使用csp标头保护我的页面。我设置了X-Content-Security-Policy和X-Webkit-CSP。至以下值:
default-src 'self';
object-src 'none';
frame-src 'self' *.youtube.com;
style-src 'self' https://ajax.googleapis.com;
script-src 'self' https://ajax.googleapis.com;
report-uri /csp_report
一切都很好,但我在chrome中遇到了以下错误。我还没有在其他浏览器中测试它。
Refused to apply inline style because it violates the following Content
Security Policy directive: "style-src 'self' https://ajax.googleapis.com".
引用当前域上脚本中的一行,即试图插入一些包含内联样式的HTML。有没有一种方法可以让我在script src中列入白名单的脚本做到这一点?我在ajax.googleapis.com上托管的jquery也遇到了同样的错误。
我忽略了'unsafe-inline'。我允许加载的资源可以通过以下操作使用内联样式:
style-src 'unsafe-inline'