如何解决CSP:为什么将“ none”和“ unsafe-inline”解释为主机名?
我对CSP还是很陌生,我想在Flask网站上使用Talisman ...并带有Adobe Fonts,这似乎与CSP无关。也就是说,该网站可以正常工作,可以加载Adobe字体,等等。
但是,Web控制台显示以下消息:
Content Security Policy: Interpreting unsafe-inline as a hostname,not a keyword. If you intended this to be a keyword,use ‘unsafe-inline’ (wrapped in single quotes).
Content Security Policy: Interpreting none as a hostname,use ‘none’ (wrapped in single quotes).
我的CSP看起来像这样:
SELF = "'self'"
csp = {
'default-src': SELF,'script-src': [
SELF,'use.typekit.net','cdn.jsdelivr.net/npm/clipboard@2/dist/clipboard.min.js',],'style-src': [SELF,'unsafe-inline','use.typekit.net'],'font-src': [SELF,'img-src': [SELF,'p.typekit.net'],'object-src': 'none',}
app = Flask(__name__)
talisman = Talisman(app,content_security_policy=csp)
就像我说的那样,它有效,但是这些错误令人不安。我已经尝试过使用单引号,双引号,无引号的每种组合……没有任何效果。任何帮助将不胜感激!
解决方法
有an example on the project home page:
csp = {
'default-src': [
'\'self\'','*.trusted.com'
]
}
none
可以用相同的方式添加。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。