it-swarm.com.de

Das Skript wurde nicht geladen, weil es gegen die folgende Richtlinie zur Richtlinie zur Inhaltssicherheit verstößt: "style-src 'self' 'unsafe-inline'

Ich verwende MVC6 (asp.net 5), verwende Winkel und versuche, Skripts von CDN-Speicherorten zu laden, wenn mein Code im Freigabemodus ausgeführt wird, aber aus irgendeinem Grund werden die Skripts NIE geladen.

Ich habe gelesen, dass Sie Ihrer HTML-Datei ein Meta-Tag hinzufügen müssen, was ich auch so gemacht habe.

<meta http-equiv="Content-Security-Policy" content="default-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' https://cdnjs.cloudflare.com; style-src 'self' https://ajax.aspnetcdn.com; font-src 'self' http://netdna.bootstrapcdn.com" />

Und auf meiner Index.cshtml habe ich das.

<environment names="Staging,Production">
    <script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.4.8/angular.min.js"
        asp-fallback-src="~/lib/angular/angular.min.js"
        asp-fallback-test="window.angular">
    </script>
    <script src="https://cdnjs.cloudflare.com/ajax/libs/angular-ui-router/0.2.15/angular-ui-router.min.js"
        asp-fallback-src="~/lib/angular-ui-router/release/angular-ui-router.js"
        asp-fallback-test="window.angular && window.angularUiRouter">
    </script>
    <script src="https://cdnjs.cloudflare.com/ajax/libs/angular-local-storage/0.2.2/angular-local-storage.min.js"
        asp-fallback-src="~/lib/angular-local-storage/dist/angular-local-storage.js"
        asp-fallback-test="window.angular && window.localStorage">
    </script>

Aber sie laden niemals. Ich habe versucht, den Code mit IISExpress und auch mit dem Befehl DNX Web auszuführen.

Ich habe this post. So komme ich zum Erstellen des META-Tags, aber nicht sicher, warum es nicht funktioniert. Ich habe dies in Chrome ausprobiert und unter der Konsole bekomme ich einfach Fehler

 enter image description here

10
Gillardo

Fügen Sie Folgendes in den Kopfbereich der Webseite ein:

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://cdnjs.cloudflare.com ">

Weitere Details zur Inhaltssicherheitsrichtlinie finden Sie unter hier und hier .

4
drcolombo

Wenn Sie das Problem umgehen möchten, fügen Sie Folgendes in Ihre application.conf-Datei ein.

play.filters.disabled += "play.filters.headers.SecurityHeadersFilter"
1
edc

In meinem Fall wird diese Richtlinie über SecurityHeadersAttribute festgelegt (dieses Attribut wird in AccountController und einigen anderen festgelegt).

Dies fügt im Wesentlichen der headers Standardrichtlinie hinzu, die Ihr meta-Tag überschreibt. Sie müssen diese Richtlinie also ändern oder das Attribut aus dem Controller entfernen.

0
Vadym Kyrylkov