内容安全策略 [错误] 拒绝加载脚本 safari

Posted 2023-04-13

【中文标题】内容安全策略 [错误] 拒绝加载脚本 safari

【英文标题】：Content Security Policy [Error] Refused to load the script safari

【发布时间】：2014-07-23 13:58:13

【问题描述】：

我在 CSP 方面落后了，今天早上我的一台服务器上的所有网站都停止使用 safari，并出现以下错误：

[错误] 拒绝加载脚本 'http://code.jquery.com/jquery-1.9.1.js' 因为它违反了 遵循内容安全策略指令：“default-src 'self'”。 请注意，'script-src' 没有明确设置，所以 'default-src' 是 用作后备。

如何在不逐个更改每个站点的情况下修复此服务器范围的问题。

如前所述，我在 CSP 方面有点落后，因此我什至不知道将规则放在哪里

【问题讨论】：

Why does my Content Security Policy work everywhere but Safari的可能重复

【参考方案1】：

为了将来参考，这里是我做的“不正确”。

在文件 /usr/local/apache/conf/includes/pre_main_global.conf 中

我放置了一堆默认标头来保护服务器，包括：

Header set X-WebKit-CSP: "default-src 'self'"

这导致 Safari 拒绝任何不在本地主机上的脚本。

之所以出现混乱，是因为在事实发生后一周之前没有人发现问题。

【讨论】：

X-WebKit-CSP 已过时。你可能想要Content-Security-Policy。查看当前浏览器支持的以下 URL：content-security-policy.com

那么实际的解决方案是什么？如何让它在 Safari 上运行并继续使用 CSP 标头？