如何更改內容安全策略指令以允許addThis小部件？

Question

我正在制作一個使用webpack的網站。
我將要啟動它，並且要添加addThis共享小部件。 我加入addThis代碼index.html權結束標記由之前建議addThis 。 像這樣：

  <!-- Go to www.addthis.com/dashboard to customize your tools -->
  <script type="text/javascript" 
  src="//s7.addthis.com/js/300/addthis_widget.js#pubid=ra- 
  ###MY_NUMBERS###"></script>
</body>

這會在chrome-inspect控制台中產生以下錯誤：

拒絕加載腳本
' http://s7.addthis.com/js/300/addthis_widget.js '，因為它違反了
以下內容安全策略指令：“ script-src'self'”。

我已經閱讀了一點，將addThis分離到另一個js文件並將其保存到本地以將其加載到DOM似乎不起作用。

我嘗試將其添加到我的manifest.json ：

"content_security_policy": "script-src 'self' http://s7.addthis.com/js/300/addthis_widget.js; object-src 'self'"

沒有成功 有沒有一種方法可以覆蓋CSP設置以允許addThis-widget ？

Answer 1

<meta http-equiv="Content-Security-Policy" content="default-src 'self' 'unsafe-inline' 
'unsafe-eval' https://*.addthis.com https://addthis.com;child-src 'self' 'unsafe- 
inline' 'unsafe-eval' https://*.addthis.com https://addthis.com; object-src 'self' 
'unsafe-inline' 'unsafe-eval' https://*.addthis.com https://addthis.com; script-src 
'self' 'unsafe-inline' 'unsafe-eval' https://*.addthis.com https://addthis.com; img-src 
'self' 'unsafe-inline' 'unsafe-eval' https://*.addthis.com https://addthis.com;">

將其添加到標題中將允許加載addthis小部件。 可能不安全，這將破壞內容安全策略的目的...

Answer 2

我總是通過.htaccess設置CSP（如果可用）。

這里有一些很好的技巧： https : //content-security-policy.com/

您基本上就在那兒，但不確定如何與manifest.json一起使用。

在.htaccess嘗試類似的方法：

Header set Content-Security-Policy "default-src 'none'; script-src 'self' http://*.addthis.com

.htaccess文件需要注意的一些事項： https : //www.digitalocean.com/community/tutorials/how-to-use-the-htaccess-file

同樣，使用CSP，您將需要指定基本使用的所有外部資源。

值得更詳細地研究CSP，並了解所使用的圖像，字體等的所有各種來源。

如有任何問題，請通知我，我將進一步擴展。