#node.js #express #pug #content-security-policy
Вопрос:
когда мы используем ссылку на скрипт в шаблоне pug, то в консоли возникает ошибка такого типа, мы также устанавливаем заголовок csp в мета-теге, а также устанавливаем.header в серверный скрипт
Отказался загружать скрипт ‘https://api.mapbox.com/mapbox-gl-js/v2.1.1/mapbox-gl.js» потому что это нарушает следующую директиву Политики безопасности контента: «скрипт-src ‘self'». Обратите внимание, что «script-src-элемент» не был задан явно, поэтому «script-src» используется в качестве запасного варианта.
это мой код мопса
block append head
meta(http-equiv="Content-Security-Policy" content="script-src 'self' api.mapbox.com js.stripe.com 'unsafe-inline'")
script(src='https://api.mapbox.com/mapbox-gl-js/v2.1.1/mapbox-gl.js')
link(href='https://api.mapbox.com/mapbox-gl-js/v2.1.1/mapbox-gl.css' rel='stylesheet')
script(src='https://js.stripe.com/terminal/v1/')
Комментарии:
1. На этот вопрос невозможно дать окончательный ответ с тем уровнем детализации, который вы предоставили. Как выглядит
Content-Security-Policyзаголовок вашего сервера? Почему вы установили его в заголовках, а также в мета-теге?
Ответ №1:
Если вы зададите CSP как в метатеге, так и в заголовке ответа, что-либо должно будет пройти обе политики. Измените или удалите CSP заголовка вашего ответа.
Комментарии:
1. Похоже, ты прав. Но topicstarter не понял ответа о нескольких функциях CSP и о том, откуда взялся HTTP-заголовок CSP, потому что он еще не проверил настройки CSP промежуточного программного обеспечения шлема на сервере.