【发布时间】:2017-10-23 19:17:21
【问题描述】:
对于简单的原型设计,我想在我的网站根目录上运行内联脚本,这是一个html-1 文件。 JavaScript 控制台说:
拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src'self'https://boomla.comself”。启用内联执行需要“unsafe-inline”关键字、哈希(“sha256-fdu2bQSeIdU5fvNNkRCjiwUEOOb+NLZDyGNVShZ1vCM=”)或随机数(“nonce-...”)。
我发现我可以使用.Trust 文件来配置内容安全策略,但我没有设法将其设置为启用内联脚本。
【问题讨论】:
-
当我尝试将哈希以
script-src sha256-XTqNqFSUlZHAW7f/OGNYSOEzxKhjdAAGMXoid2VEbJk=复制到.Trust 文件时,它显示unsupported Content-Security-Policy directive value [sha256-XTqNqFSUlZHAW7f/OGNYSOEzxKhjdAAGMXoid2VEbJk=], supported forms are [foo.com], [http://foo.com], [sha256-...] -
显然,实现了错误的 base64 变体。修复正在进行中。
-
在生产中修复了错误的 base64 变体问题
标签: boomla