我正在学习使用express/node.js进行Web开发。我设置了一个简单的 index.js 文件。我可以正常访问 http://localhost:3001/ 。但是当我尝试访问 http://localhost:3001/api/people (定义为内联脚本)时,出现以下错误:
Content-Security-Policy:页面的设置阻止执行内联脚本 (script-src-elem),因为它违反了以下指令:“default-src 'none' (prepareInjection.js:1:1063)”错误。
尽管我已经使用了数十种头盔声明的变体
app.use(csp({
directives: {
defaultSrc: ["'self'"],
styleSrc: ["'self'", 'maxcdn.bootstrapcdn.com']
}
}))`
覆盖默认的 CSP defaultSrc。这是怎么回事?我之前正在编写另一个脚本,该脚本很好,但这个脚本无法调试。我的标题看起来像:
const http = require('http');
const express = require('express');
const csp = require('头盔-csp')
const app = express();
app.use(csp({
directives: {
defaultSrc: ["'self'"],
styleSrc: ["'self'", 'maxcdn.bootstrapcdn.com']
}
}))`
// ... //`
提前致谢!
尝试使用头盔来覆盖 CSP 错误。没用。
您可以尝试添加它以允许内联脚本
scriptSrc:[“'self'”,“'不安全内联'”],