我有一个Blazor服务器端应用程序,我添加了_Host.cshtml
的<head>
:
<meta http-equiv="Content-Security-Policy"
content="base-uri 'self';
default-src 'self';
img-src data: https:;
object-src 'none';
script-src 'self';
style-src 'self' 'unsafe-inline';
upgrade-insecure-requests;">
我原来在控制台中报告的所有哈希值。但是错误仍然被报告。我不得不删除哈希值并添加unsafe-inline
。我宁愿用哈希值代替。
我错过了什么?
1条答案
按热度按时间dxpyg8gm1#
最有可能的散列是内联事件属性,如onclick,onload等。这些属性不能被散列,但浏览器在错误中提供了它们。您需要用事件侦听器重写。