#content-security-policy
Вопрос:
мне нужен доступ к этим сценариям:
<script src="https://js.stripe.com/v3/"></script>
<script src="https://cdnjs.cloudflare.com/ajax/libs/axios/0.21.1/axios.min.js"></script>
<script src="https://api.mapbox.com/mapbox-gl-js/v2.1.1/mapbox-gl.js"> </script>
и эта таблица стилей:
<link rel="stylesheet" href="https://api.mapbox.com/mapbox-gl-js/v2.1.1/mapbox-gl.css">
но у меня есть некоторые ошибки, подобные этой:
Отказался загружать скрипт ‘https://js.stripe.com/v3/’ потому что это нарушает следующую директиву Политики безопасности контента: «script-src https://cdnjs.cloudflare.com https://api.mapbox.com капля «я»:». Обратите внимание, что «script-src-элемент» не был задан явно, поэтому «script-src» используется в качестве запасного варианта.
я использую мета-тег для доступа ко всем веб-сайтам со всеми активами, но он не работает:
<meta http-equiv="Content-Security-Policy" content="default-src https:">
Комментарии:
1. Поскольку вы наблюдаете нарушение CSP:
Refused... "script-src https://cdnjs.cloudflare.com https://api.mapbox.com 'self' blob:", некоторые CSP уже опубликованы (вероятно, через HTTP-заголовок). Добавление второго CSP через<meta>не может смягчить первый. Вам нужно выяснить, где выдается первый CSP, и отредактировать его — чтобы добавитьhttps://js.stripe.comвscript-src https://cdnjs.cloudflare.com https://api.mapbox.com 'self' blob:.