我正在尝试在新网站上实施内容安全政策。我可以看到在 Chrome 的网络选项卡中设置了以下 HTTP 标头。
Content-Security-Policy: default-src 'self' https:
但是,来自第三方网站的 javscript 和 css 仍在加载,没有任何错误。
我需要添加任何其他内容才能阻止第三方库吗?
您的策略允许来自同一主机的“self”的任何内容,但也允许来自 https: 的任何内容,这意味着通过 https 提供的任何内容。删除 https:,最好在更具体的指令中插入必要的源,例如 script-src、style-src 等。