Content-Security-Policy在我的网站无法正常工作？

Question

我想这CSP

Header set Content-Security-Policy: "default-src 'self'; script-src 'self' https://www.google-analytics.com; style-src 'self' https://twemoji.maxcdn.com; img-src 'self' https://twemoji.maxcdn.com" 

我希望它加载我从我的域名和twemoji maxcdn和脚本图像和CSS从我的域名和Google Analytics ..但它不工作..内容被显示，但没有CSS！它看起来像纯文本网站与图像..甚至从tweemoji图像不出现，只有在我的网站托管的图像工作..即使我尝试了脚本src和style-src单独..！似乎没有任何工作..我甚至尝试过通配符..！但是当我拿出CSP标题时，我的网站正常加载..！

这是我的网站看起来当我与设置CSP激活..

什么，我做错了什么？并试图在http网站中使用CSP ..我正在使用这个htaccess ..！

还有一个，如何让内联的CSS呢？

Answer 1

如果您可以发布您所看到的错误或提供示例网址，这将有所帮助，但是我会猜测您的style-src中缺少'unsafe-inline'是问题所在。

不要担心添加“不安全”的含义。对于这种情况，风险几乎没有，我敢打赌，没有一个单一的CSP不会使用任何非平凡网站的style-src 'unsafe-inline'。

Answer 2

我在您的网站上模拟了您的CSP标题，因为您在查看时禁用了它。如怀疑oreoshake，问题是您的代码中有内联脚本和内联样式，但您的CSP不允许这些。

您可以使用'unsafe-inline'来获取style-src。您可能仍然遇到问题，因为您需要'unsafe-inline'和'unsafe-eval'对于script-src;这两者都是可怕的，而且都是诚实的，打败了CSP的目的。