![](/img/trans.png)
[英]Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source
[英]Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script Content Security Policy directive:default-src self
在我的應用程序中,我想要內容安全策略:所有指令都應設置為自我,但是當我嘗試這樣做時,它顯示以下錯誤
未捕獲的 EvalError:拒絕將字符串評估為 JavaScript,因為“unsafe-eval”不是以下內容安全策略指令中允許的腳本源:“default-src 'self';”。
at Function (<anonymous>)
at Function._init (yui_combo.php?rollup/3.17.2/yui-moodlesimple-min.js:8:3195)
at yui_combo.php?rollup/3.17.2/yui-moodlesimple-min.js:9:4331
at yui_combo.php?rollup/3.17.2/yui-moodlesimple-min.js:9:4558
拒絕執行內聯腳本,因為它違反了以下內容安全策略指令:“default-src 'self'”。 啟用內聯執行需要“不安全內聯”關鍵字、hash(“sha256-BfUVqxUMiFIZGvtAvlU3O1tTN9idUT5IuAIpMSM2F5g=”)或隨機數(“nonce-...”)。 另請注意,未明確設置“script-src”,因此“default-src”用作后備。
拒絕加載樣式表“https://fonts.googleapis.com/css?family=Open+Sans:300,300i,400,400i,600,600i,700,700i,800,800i&display=swap”,因為它違反了以下內容安全策略指令:“默認源'自我'”。 請注意,未明確設置“style-src-elem”,因此“default-src”用作后備。
內容安全策略必須具有以下指令:
default-src 'self';
script-src 'self' 'unsafe-eval';
style-src 'self' fonts.googleapis.com;
和更多。
如果您在 Node.JS 服務器上使用頭盔,則可以配置以下內容:
server.use(helmet({
contentSecurityPolicy: false
}));
或者您可以配置以下內容以將特定域列入白名單:
server.use(
helmet.contentSecurityPolicy({
directives: {
"script-src": ["'self'", "example.com"],
"style-src": null,
},
})
);
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.