我的网站的 script-src 继续产生错误并拒绝加载 Header.html 文件中的脚本,并且我尝试了多个网站,包括阅读文档,但是我不确定我做错了什么如果我只需要耐心等待它在我的网站上生效。
我目前正在为我的 CSP 策略使用元标记,
<meta http-equiv="Content-Security-Policy" content="default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval';">
<script src='https://th4rjdmmrjsz.statuspage.io/embed/script.js'></script>
但是,无论我用它做什么似乎都不起作用,我使用过 RapidSec 和 CSP 站点本身(包括自动生成器)等网站,但似乎没有任何作用。我在这里做错了什么?
CSP 的版本(或级别)具有新支持的功能,扩展了原始规范。通过 html 元标头为 CSP 提供服务被认为是遗留的,并且有一些缺点/错误。 尝试通过请求的 HTTP 标头设置 CSP。
此外,如果您使用 RapidSec,则可以使用自动为您执行此操作的集成(Wordpress 插件、Node.js 包)。