我有一个信任脚本要嵌入到我的项目中。即使添加代码后,由于我们在项目中使用的配置,Cookie 横幅也无法访问并且不会弹出。我可以对以下行进行哪些更改以确保横幅可访问。 注意:如果我评论以下行,横幅可以访问,但会导致安全风险。
我们评论的用于启用横幅的配置:
标头设置 Content-Security-Policy "default-src 'unsafe-inline' 'unsafe-eval' https://*; 框架祖先‘自我’;”
尝试过:
标头设置 Content-Security-Policy "default-src 'self'; script-src 'self' https://cdn.cookielaw.org; style-src 'self' '不安全内联' https://cdn.cookielaw.org; 框架祖先‘自我’;”
在控制台中收到此消息:
拒绝连接到 ' https://cdn.cookielaw.org/consent/16cc4bef-039e-4015-b3dc-05552d35810b-test/16cc4bef-039e-4015-b3dc-05552d35810b-test.json' 因为它违反了以下内容安全策略指令:“default-src 'self'”。请注意,“connect-src”未明确设置,因此“default-src”用作后备。
有人可以建议我应该更新哪些更改,以便可以访问 cookie 横幅。
您正在 style-src 和 script-src 中设置 cdn.cookielaw.org,但似乎您还需要在 connect-src 中设置它,这需要添加到策略中。
您评论中所述的错误消息表明政策与问题中的政策不同。这意味着它要么来自已编辑的策略,要么来自设置的多个策略。内容需要通过所有策略,因此添加另一个策略只能使其更加严格。