Реагировать JS Отказаться от загрузки изображения, поскольку оно нарушает следующую директиву Content Security Policy

Question

Я столкнулся с этой проблемой, когда пытался перезагрузить веб-страницу своего приложения. Примечание: на этапе разработки не было проблем с подобными вещами, но когда я развернул их в рабочей среде, я столкнулся с этой проблемой. Спасибо.

Refused to load the image 'http://104.248.153.121:8080/favicon.ico' because it violates the following Content Security Policy directive: "default-src 'none'". Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.

Вот журнал изображений ошибок: Журнал ошибок Отказ от загрузки изображения

Answer 1

Метатег Content-Security-Policy позволяет снизить риск атак XSS, позволяя определить, откуда можно загружать ресурсы, не позволяя браузерам загружать данные из любых других мест. Из-за этого злоумышленнику будет сложнее внедрить вредоносный код на ваш сайт.

Пример, в котором указано, что content = "default-sr c 'self'" означает следующее:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

1. Как разрешить использование нескольких источников?

Вы можете просто перечислить свои источники после директивы в виде списка, разделенного пробелами:

content="default-src 'self' https://example.com/js/"

Обратите внимание, что вокруг параметров других кавычек нет чем особые, как «я». Кроме того, нет двоеточия (:) после директивы. Просто директива, затем разделенный пробелами список параметров.