Согласно Документам Mozilla по Content-Security-Policy, существует тонн других политик безопасности, и если для ваших файлов js / css требуется установить одну из них, онибудет заблокирован.
К счастью, есть простое исправление, default-src
.Из вышеупомянутых документов:
Директива default-src HTTP Content-Security-Policy (CSP) служит резервной для других директив CSP fetch .Для каждой из следующих отсутствующих директив пользовательский агент будет искать директиву default-src и будет использовать для нее это значение:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; ...
Примечание , что default-src
применяется только к извлечению директив (что бы это ни значило).Поэтому вам может потребоваться добавить несколько политик (например, inline-src
, которые все используют), которые требуются для вашей страницы.
Кроме того, вам нужно будет указать self
для каждой политики, которую вы определяете, потому что Firefox будетОбращайтесь к default-src
только в том случае, если требуемая политика равна null .
Так что если у вас есть такая политика:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src http://example.com;">
Вы исключите себя изscript-src
, но вы должны быть охвачены всеми другими политиками, за исключением политик, которые script-src
представляют собой резервную копию до и default-src
(например, script-src-elem
).
К сожалению, это также распространяется на все зависимости, которые есть у вашего скрипта, такие как bootstrap или jQuery .каждая зависимость должна быть явно указана в каждой требуемой политике.
Если бы только у кого-то был пакет , чтобы упростить этот процесс ...
Наконец, этот ответ был отличным ресурсом для изучения Content-Security-Policy.