Я устанавливаю Content-Security-Policy в htaccess.
Я использую довольно основную c и строгую политику:
Header always set Content-Security-Policy
"default-src 'self';
script-src 'self' http: https: *.googleapis.com *.google-analytics.com;
style-src 'self';
img-src 'self' http: https: *.google-analytics.com;
frame-src 'none'"
Это работает отлично подходит для веб-сайта.
Но если я щелкну правой кнопкой мыши изображение на своем веб-сайте и "открыть изображение в новой вкладке" в Chrome, я получу эту ошибку в консоли:
" Отказался от применения встроенного стиля, поскольку он нарушает следующую директиву политики безопасности содержимого: "style-sr c 'self'". Для включения встроенного выполнения требуется ключевое слово unsafe-inline, ha sh или одноразовый номер . "
Это, вероятно, вызвано тем, что Chrome сам добавляет встроенный стиль к изображениям.
Изображение отображается, но черный фон теперь белый (по умолчанию). Может быть, и другой стиль, я не знаю
Может быть, это имеет нулевое значение, но как мне обойти это?
Я не хочу ослаблять политика только из-за поведения chrome.