Если я добавлю заголовок Content Security Policy в свое приложение, CSS перестанет работать, и начальная страница не будет отображаться должным образом, включая потерю изображений. Удаление заголовка Content Security Policy заставляет страницу отображаться правильно. Не получено никаких ошибок - страница просто не отображается должным образом.
Если я просто добавлю заголовок Content Security Policy с default-src, имеющим какое-либо значение - включая * - приложение больше не использует CSS. Я перепробовал все возможные значения для default-src и также попытался включить значения для style-src.
Вот соответствующий раздел web.config. Я пробовал много разных значений, но это последнее теоретически не должно ничего блокировать ...
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self' 'unsafe-eval' 'unsafe-inline' https://*.MYDOMAIN; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://*.MYDOMAIN; style-src 'self' 'unsafe-inline' https://*.MYDOMAIN; img-src 'self' https://*.MYDOMAIN; connect-src 'self' https://*.MYDOMAIN; font-src 'self' https://*.MYDOMAIN; object-src 'self' https://*.MYDOMAIN; media-src 'self' https://*.MYDOMAIN; child-src 'self' https://*.MYDOMAIN; form-action 'self' https://*.MYDOMAIN; frame-ancestors 'self'" />
</customHeaders>
</httpProtocol>
</system.webServer>
DevTools не сообщает ни об одной ошибке, кроме той, которая возникает без CSP, и которая также происходит, когдаприложение правильно работает. Таким образом, CSP не вносит каких-либо новых ошибок или сообщений, отличных от обычной работы.
Я бы ожидал, что Политика безопасности контента не повлияет на CSS.