Google ReCaptcha CSP 评估违规,尽管随机数正确?

问题描述 投票:0回答:1

我有以下 CSP 标头:

script-src 'self' *.google.com *.googletagmanager.com *.google-analytics.com 'nonce-XXXXXX'; style-src 'self' '不安全内联' *.googleapis.com *.gstatic.com; img-src '自我' *.google-analytics.com;字体-src https://fonts.gstatic.com/;对象-src“无”; connect-src 'self' wss:;框架祖先“无”;报告-uri XXXX;

该网站目前正在运行

https://127.0.0.1/test/

剧本:

<script async defer src="https://www.google.com/recaptcha/api.js?render=explicit" 
 nonce="XXXXXX"></script>

加载包含验证码的页面或提交表单后,我收到一堆报告,其中包含以下错误:

blocked-uri eval
column-number   8
document-uri    https://127.0.0.1/test/
line-number 27
original-policy script-src 'nonce-06119715-2ed2-42ae-99b1-edf58ab76283' 'nonce-8834c239-fa22-4e70-965d-8134dc20ae4e'; style-src 'self'; img-src 'self'; font-src https://fonts.gstatic.com/; object-src 'none'; report-uri https://127.0.0.1/test/csp-report
referrer    
source-file blob:https://127.0.0.1/47fba858-3af0-4468-a1fe-32e077414fc1
violated-directive  script-src

如果我允许“不安全内联”,报告就会消失。我究竟做错了什么?

我按照页面上的说明操作带有内容安全策略的reCAPTCHA,但没有成功。

recaptcha content-security-policy
1个回答
0
投票

为什么您不简单地使用 Google reCAPTCHA 随机数,无需在内容安全策略 (CSP) 中允许不安全评估。 ?

© www.soinside.com 2019 - 2024. All rights reserved.