我有一个错误:error脚本我尝试运行:script Nginx配置由CSP生成器生成:nginx
我trired通过CSP生成脚本,它不工作,我也试过:
<!DOCTYPE html>
<html>
<head>
<title>Authenticated</title>
<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-inline';">
</head>
<body>
Authenticated successfully.
<script>
window.opener.postMessage({
token: '<%= jwtToken %>',
ok: true
}, '<%= clientUrl %>');
window.close();
</script>
</body>
</html>
字符串
我不能处理这个问题,请给我给予
谢谢你
1条答案
按热度按时间uelo1irk1#
您似乎在Meta标记和标头中都添加了CSP。内容需要传递所有策略才能被允许。错误消息中的CSP与您显示的任何策略都不匹配。您可能从不同的时间获取了样本,或者还有另一个策略。检查响应标头以查看是否存在其他策略。
您正在将动态值插入到内联脚本中。在这种情况下,脚本的哈希值每次都会更改,因此您必须计算要插入CSP中的哈希值,使用nonce或使用'unsafe-inline'(在这种情况下CSP的效果会降低)。