0

我是元数据库的新手。我已经下载了元数据库源代码并将其托管在 Ubuntu 16.04 LTS 服务器中。当我使用“lein ring server”命令启动元数据库服务器时,我得到“java.awt.HeadlessException”。我已经阅读了 github 问题中的一些地方,只是它可以被忽略。前端是使用“yarn run build-hot”命令构建的。从浏览器访问前端时,出现以下错误

拒绝加载脚本' http://locahost:8080/app/dist/vendor.hot.bundle.js?222bfa78ab06d868cbf4 ',因为它违反了以下内容安全策略指令:“script-src 'unsafe-inline' 'unsafe-评估''自我' https://maps.google.com https://apis.google.com https://www.google-analytics.com https://*.googleapis.com *.gstatic.com 本地主机: 8080”。

拒绝加载脚本' http://locahost:8080/app/dist/app-main.hot.bundle.js?222bfa78ab06d868cbf4 ',因为它违反了以下内容安全策略指令:“script-src'unsafe-inline''不安全评估''自我' https://maps.google.com https://apis.google.com https://www.google-analytics.com https://*.googleapis.com *.gstatic.com本地主机:8080”。

4

1 回答 1

0

它似乎是 CSP 问题。你可以使用解决这个问题

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

<meta http-equiv="Content-Security-Policy" content="default-src 'self'  https://www.google.com; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.google.com; style-src 'unsafe-inline' 'self' https://www.google.com; connect-src 'self' https://api.gole.in;img-src 'self' https://www.google.co.in/ads/ga-audiences; font-src 'self' data: https://fonts.gstatic.com;">

如何允许 eval()?

我敢肯定很多人会说你不知道,因为“eval 是邪恶的”并且最有可能导致即将到来的世界末日。那些人就错了。当然,您绝对可以使用 eval 在您网站的安全性中打出重大漏洞,但它具有完全有效的用例。你只需要聪明地使用它。你允许它像这样:

content="script-src 'unsafe-eval'"

参考链接:https ://content-security-policy.com/

于 2018-12-18T09:21:54.680 回答