Политика безопасности контента приводит к исчезновению CSS - PullRequest
0 голосов
/ 29 октября 2019

Если я добавлю заголовок Content Security Policy в свое приложение, CSS перестанет работать, и начальная страница не будет отображаться должным образом, включая потерю изображений. Удаление заголовка Content Security Policy заставляет страницу отображаться правильно. Не получено никаких ошибок - страница просто не отображается должным образом.

Если я просто добавлю заголовок Content Security Policy с default-src, имеющим какое-либо значение - включая * - приложение больше не использует CSS. Я перепробовал все возможные значения для default-src и также попытался включить значения для style-src.

Вот соответствующий раздел web.config. Я пробовал много разных значений, но это последнее теоретически не должно ничего блокировать ...

  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <add name="Content-Security-Policy" value="default-src 'self' 'unsafe-eval' 'unsafe-inline' https://*.MYDOMAIN; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://*.MYDOMAIN; style-src 'self' 'unsafe-inline' https://*.MYDOMAIN; img-src 'self'  https://*.MYDOMAIN; connect-src 'self' https://*.MYDOMAIN; font-src 'self' https://*.MYDOMAIN; object-src 'self' https://*.MYDOMAIN; media-src 'self' https://*.MYDOMAIN; child-src 'self' https://*.MYDOMAIN; form-action 'self' https://*.MYDOMAIN; frame-ancestors 'self'" />
      </customHeaders>
    </httpProtocol>
  </system.webServer>

DevTools не сообщает ни об одной ошибке, кроме той, которая возникает без CSP, и которая также происходит, когдаприложение правильно работает. Таким образом, CSP не вносит каких-либо новых ошибок или сообщений, отличных от обычной работы.

Я бы ожидал, что Политика безопасности контента не повлияет на CSS.

...