【发布时间】:2017-07-11 04:18:10
【问题描述】:
我在 gitHub 页面上托管一个个人项目,并使用 cloudflare 来强制执行 https。现在我想实施 CSP 政策。
我尝试在页面顶部添加元标记:
<meta HTTP-EQUIV='Content-Security-Policy' CONTENT="default-src 'self' *.fonts.googleapis.com/* *.cloudflare.com/* *.fonts.googleapis.com/*;">
但我收到以下错误:
拒绝加载样式表 'https://fonts.googleapis.com/icon?family=Material+Icons' 因为它 违反以下内容安全策略指令:“default-src '自我' .fonts.googleapis.com/ .cloudflare.com/ .fonts.googleapis.com/"。请注意,'style-src' 没有明确设置,因此 'default-src' 用作备用。
这是我包含的脚本:
<link href="https://fonts.googleapis.com/icon?family=Material+Icons"
rel="stylesheet">
<link href="https://fonts.googleapis.com/css?family=Noto+Sans|Roboto" rel="stylesheet">
不会设置*.fonts.googleapis.com/* 允许页面中的所有内容?
由于这是我第一次设置 CSP,这是为 github 页面设置它的正确方法吗?我还没有找到任何关于此的阅读。
【问题讨论】:
-
我在 dotnet core MVC 应用程序上遇到了来自 Chrome 的同样错误。
-
@WilliamLohan 将其设置为 CONTENT="default-src 'self' fonts.googleapis.com fonts.gstatic.com cloudflare.com; 可执行脚本仍然无法工作。
标签: html meta content-security-policy