Я использую CAPTCHA при загрузке страницы, но она блокируется по какой-то причине безопасности.
Я столкнулся с этой проблемой:
Политика безопасности контента: настройки страницы заблокировали загрузку ресурса на http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit ("script-src http://test.com:8080 'unsafe-inline' 'unsafe-eval'").
Я использовал следующий JavaScript и метатег:
<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">
<script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async defer></script>
javascript
jquery
content-security-policy
Шакти Шарма
источник
источник
javascript
тег к этому вопросу, потому что вопрос не имеет ничего общего с jQuery. Это влияет на любой JavaScript. На самом деле, вопрос был бы более полезным, если бы выjQuery
вообще удалили тег, но это не мое место.Ответы:
Вы сказали, что можете загружать скрипты только со своего собственного сайта (себя). Затем вы попытались загрузить сценарий с другого сайта ( www.google.com ) и не можете этого сделать, поскольку вы ограничили его. В этом весь смысл Политики безопасности контента (CSP).
Вы можете изменить свою первую строку на:
<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://www.google.com">
Или же, возможно, стоит полностью удалить эту строку, пока вы не узнаете больше о CSP. Ваш текущий СНТ является довольно слабым в любом случае ( с учетом
unsafe-inline
,unsafe-eval
иdefault-src
из*
), так что это , вероятно , не добавляя слишком много значения, если честно.источник
Когда мой проект ASP.NET Core Angular запущен в Visual Studio 2019, иногда я получаю это сообщение об ошибке в консоли Firefox:
В Chrome вместо этого появляется сообщение об ошибке:
В моем случае это не имело ничего общего с моей политикой безопасности контента, а было просто результатом ошибки TypeScript с моей стороны.
Проверьте окно вывода IDE на наличие ошибки TypeScript, например:
> ERROR in src/app/shared/models/person.model.ts(8,20): error TS2304: Cannot find name 'bool'. > > i 「wdm」: Failed to compile.
Примечание. Поскольку этот вопрос является первым результатом этого сообщения об ошибке в Google.
источник
У меня был похожий тип ошибки. Сначала я попытался добавить в код метатеги, но это не сработало.
Я обнаружил, что на веб-сервере nginx у вас может быть параметр безопасности, который может блокировать запуск внешнего кода:
# Security directives server_tokens off; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://ajax.googleapis.com https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://assets.zendesk.com; font-src 'self' https://fonts.gstatic.com https://themes.googleusercontent.com; frame-src https://player.vimeo.com https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'";
Проверьте Content-Security-Policy. Возможно, вам потребуется добавить ссылку на источник.
источник
Мне удалось разрешить все мои необходимые сайты с этим заголовком:
header("Content-Security-Policy: default-src *; style-src 'self' 'unsafe-inline'; font-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' stackexchange.com");
источник
Я обошел это, обновив как версию Angular, которую я использовал (с v8 -> v9), так и версию TypeScript (с 3.5.3 -> последняя).
источник
Вы можете отключить их в своем браузере.
Fire Fox
Введите
about:config
адресную строку Firefox, найдитеsecurity.csp.enable
и установите для нее значениеfalse
.Хром
Вы можете установить расширение, вызываемое
Disable Content-Security-Policy
для отключения CSP.источник