1. ホーム
  2. javascript

[解決済み] コンテンツセキュリティポリシー。ページの設定によりリソースの読み込みをブロックした

2022-05-16 17:45:54

質問

私は CAPTCHA を使用していますが、セキュリティ上の理由でブロックされています。

私はこの問題に直面しています。

    コンテンツセキュリティポリシー。ページの設定により
    のリソースの読み込みをブロックしました。
    http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit
    ("script-src http://test.com:8080 'unsafe-inline' 'unsafe-eval'") のリソースの読み込みがブロックされました。

以下のJavaScriptとmetaタグを使用しています。

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">
<script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async defer></script>

どのように解決するのですか?

自分のサイト (自己) からしかスクリプトを読み込むことができないと言いました。次に、他のサイトからスクリプトを読み込もうとしました ( www.google.com ) のスクリプトを読み込もうとしましたが、これを制限しているため、読み込めません。これが コンテンツセキュリティポリシー (CSP) の要点です。

1行目を変更すると

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://www.google.com">

あるいは、CSP についてもっと知ることができるまで、その行を完全に削除することも価値があるかもしれません。現在の CSP はとにかくかなりいい加減なものです。 unsafe-inline , unsafe-eval であり default-src* というように、正直なところ、あまり大きな付加価値はないでしょう。