我发现nginx配置中并没有设置content-security-policy头部内容,但是网页响应信息中却有一个content-security-policy:script-src 'self' 'unsafe-inline' 'unsafe-eval';CSP限制,导致我的网页无法正常引入第三方cdn资源文件。
我尝试在我的单独网站中设置
add_header Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval' https://xxx.net; object-src 'none';" always;
但这不管用,网页响应头部中,会出现两条csp策略,这让浏览器会选取第一条script-src 'self' 'unsafe-inline' 'unsafe-eval策略,导致无法引入第三方cdn资源文件。