Я использую следующий скрипт:
<script src='https://www.google.com/recaptcha/api.js'></script>
<div class="g-recaptcha" data-sitekey="MYKEY"></div>
Что вызывает
[Ошибка] Список источников для директивы Content Security Policy
'script-src' содержит неверный источник: '' strict-dynamic ''. Будет
быть проигнорированным (X4)
Я пытался добавить CSP, чтобы этого не случилось. Это происходит только в Safari.
CSP добавлен как метатег в:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' https://google.com https://google-statistics.com;font-src *.bootstrapcdn.com *.gstatic.com; script-src 'strict-dynamic' 'unsafe-inline' 'self' * ; img-src *; style-src 'self' * 'unsafe-inline'; child-src 'self' https://www.google.com ; connect-src https://google-analytics.com;">
Я знаю, что это не выглядит безопасным, я просто сначала хочу, чтобы этот recaptcha сработал, а затем минимизировать риски.