我有Wordpress网站(LAMP服务器)的内容安全策略:
set Content-Security-Policy "base-uri \'self\'; default-src \'self\'; font-src \'self\' data: https://fonts.gstatic.com; frame-src https://www.google.com https://www.youtube.com; img-src \'self\' https://secure.gravatar.com; script-src \'self\' \'unsafe-inline\' ; style-src \'self\' \'unsafe-inline\' https://fonts.googleapis.com; object-src \'self\'; form-action \'self\'; frame-ancestors \'self\';"
此CSP阻止我激活Wordpress中的任何复选框(可以是记住我登录的复选框,也可以是让我选择要更新哪个主题的复选框)(在Linux上使用Firefox,在Android上使用Chrome进行测试)。
没有CSP,一切都按预期进行。
我们非常感谢任何关于CSP需要再次执行该操作的提示。
最合适的回答,由SO网友:Umbertones 整理而成
多亏雅各布的暗示,我终于找到了解决办法。这个正在工作。
Header set Content-Security-Policy "base-uri \'self\'; default-src \'self\'; font-src \'self\' data: https://fonts.gstatic.com; frame-src https://www.google.com https://www.youtube.com; img-src data: \'self\' https://secure.gravatar.com; script-src \'self\' \'unsafe-inline\' ; style-src \'self\' \'unsafe-inline\' https://fonts.googleapis.com; object-src \'self\'; form-action \'self\'; frame-ancestors \'self\';"
区别在于
data: 在
ìmg-src 部分
