javascript - 内容安全策略 : The page's settings blocked the loading of a resource

Question

我正在使用 CAPTCHA在页面加载时，但由于某些安全原因它正在阻塞。

我遇到了这个问题:

    Content Security Policy: The page's settings blocked the loading    of a resource at    http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit    ("script-src http://test.com:8080 'unsafe-inline' 'unsafe-eval'").

I have used the following JavaScript and meta tag:

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">
<script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async defer></script>

Answer 1

您说过您只能从您自己的站点(自己)加载脚本。然后您尝试从另一个站点 ( www.google.com ) 加载脚本，并且由于您对此进行了限制，所以不能。这就是 Content Security Policy 的重点(CSP)。

您可以将第一行更改为:

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://www.google.com">

或者，在您了解有关 CSP 的更多信息之前，完全删除该行可能是值得的。无论如何，您当前的 CSP 相当宽松(允许 unsafe-inline、unsafe-eval 和 * 的 default-src >)，所以老实说，它可能没有增加太多值(value)。