包含脚本的内容安全策略

我需要包括这个脚本https://apis.google.com/js/api:client.js 在我的网站上。在Google Chrome上运行良好,但在Firefox上(当然还有IE),我发现了一些错误:

内容安全策略:忽略脚本src中的“’safe-inline’”:指定了“strict dynamic”
内容安全策略:忽略脚本src中的“https:”并指定“严格动态”
内容安全策略:忽略脚本src中的“http:”并指定“严格动态”

我试图更改meta标记中的内容安全策略标题,但没有成功

我尝试了所有这些:

<meta http equiv=“Content Security Policy”Content=“default src'none';img src'self';script src'self'api.google.com;style src'self';”>
<meta http equiv=“Content Security Policy”Content=“default src'self”api.google.com”>
<meta-http equiv=“Content Security Policy”Content=“script src'self”“unsafe eval”https://*.google.com;object src'self”“unsafe eval'”>
<meta http equiv=“Content Security Policy”Content=“script src'self”“unsafe eval'api.google.com;”;

我知道这个问题已经有一年历史了,但它仍然是搜索这个问题时最先出现的问题之一,至今还没有正确的答案

我明白。我是那些喜欢在生产中看到原始控制台的人之一,所以像这样的东西让我发疯,但实际上我们对此无能为力。Firefox正在向控制台报告警告,但它不应该这样做

Mozilla和Google都建议将回退CSP1策略与CSP3的“严格动态”结合起来。理解“严格动态”的浏览器应忽略CSP1策略,不理解“严格动态”的浏览器应忽略无法识别的“严格动态”并遵循CSP1策略。关键词是忽略。真正的忽略包括不宣布你正在忽略

发表评论