[英]How to change Content Security Policy directive to allow for addThis widget?
我正在制作一個使用webpack的網站。
我將要啟動它,並且要添加addThis
共享小部件。 我加入addThis
代碼index.html
權結束標記由之前建議addThis
。 像這樣:
<!-- Go to www.addthis.com/dashboard to customize your tools -->
<script type="text/javascript"
src="//s7.addthis.com/js/300/addthis_widget.js#pubid=ra-
###MY_NUMBERS###"></script>
</body>
這會在chrome-inspect控制台中產生以下錯誤:
拒絕加載腳本
' http://s7.addthis.com/js/300/addthis_widget.js ',因為它違反了
以下內容安全策略指令:“ script-src'self'”。
我已經閱讀了一點,將addThis
分離到另一個js文件並將其保存到本地以將其加載到DOM似乎不起作用。
我嘗試將其添加到我的manifest.json
:
"content_security_policy": "script-src 'self' http://s7.addthis.com/js/300/addthis_widget.js; object-src 'self'"
沒有成功 有沒有一種方法可以覆蓋CSP設置以允許addThis-widget
?
<meta http-equiv="Content-Security-Policy" content="default-src 'self' 'unsafe-inline'
'unsafe-eval' https://*.addthis.com https://addthis.com;child-src 'self' 'unsafe-
inline' 'unsafe-eval' https://*.addthis.com https://addthis.com; object-src 'self'
'unsafe-inline' 'unsafe-eval' https://*.addthis.com https://addthis.com; script-src
'self' 'unsafe-inline' 'unsafe-eval' https://*.addthis.com https://addthis.com; img-src
'self' 'unsafe-inline' 'unsafe-eval' https://*.addthis.com https://addthis.com;">
將其添加到標題中將允許加載addthis小部件。 可能不安全,這將破壞內容安全策略的目的...
我總是通過.htaccess
設置CSP(如果可用)。
這里有一些很好的技巧: https : //content-security-policy.com/
您基本上就在那兒,但不確定如何與manifest.json一起使用。
在.htaccess
嘗試類似的方法:
Header set Content-Security-Policy "default-src 'none'; script-src 'self' http://*.addthis.com
.htaccess
文件需要注意的一些事項: https : //www.digitalocean.com/community/tutorials/how-to-use-the-htaccess-file
同樣,使用CSP,您將需要指定基本使用的所有外部資源。
值得更詳細地研究CSP,並了解所使用的圖像,字體等的所有各種來源。
如有任何問題,請通知我,我將進一步擴展。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.