Проблема с политикой безопасности контента
Я использую код ниже в моем htaccess, но по какой-то причине я получаю сообщение об ошибке в консоли. Есть идеи, в чем проблема?
Спасибо,
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com"
</IfModule>
1 ответ
У вас есть встроенный скрипт на вашей странице, то есть что-то вроде этого:
<script>
...
</script>
Это либо непосредственно в вашем HTML, либо в используемом компоненте (например, это добавляет виджет Facebook, который вы добавляете на свою страницу), или, возможно, в расширении браузера, которое использует ваш браузер.
Вы можете разрешить этот онлайн-скрипт, добавив unsafe-inline в свою конфигурацию, например так:
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'unsafe-inline' 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com"
</IfModule>
Однако это лишит большинство защит Политики безопасности контента (CSP), которая специально разработана для предотвращения мошеннических сценариев, запущенных на вашем сайте, для предотвращения проблем безопасности, таких как межсайтовый скриптинг (XSS).
Я предлагаю вам прочитать больше о CSP, прежде чем внедрять его. Могу предложить мой собственный пост в блоге здесь для начинающих: https://www.tunetheweb.com/security/http-security-headers/csp/