我正在尝试在.htaccess
文件中设置Content-Security-Policy/CSP headers
。但是,由于某种原因,它在development
和production
环境中被阻塞。
同样的事情也发生在.css
和其他来源,如图像。
Header set X-XSS-Protection "1; mode=block"
Header add Content-Security-Policy "script-src 'self' http://*.google.com https://*.google.com https://*.googleapis.com"
...
我已经试过在谷歌上搜索解决方案,但到目前为止没有运气。
1条答案
按热度按时间fnx2tebb1#
这个问题已经解决了。
我必须使用
http
和https
协议定义外部资源的所有基本URL和特定路径。与self
沿着允许应用程序的所有文件和unsafe-inline
用于运行页面上编写的内联脚本。请注意:
1.使用
unsafe-inline
被认为是一种安全威胁。1.如果您不是从同一来源请求多个文件,请尝试使用特定的URL。
我希望这能帮助有需要的人。