0

我正在开发一个 nodejs 应用程序并实现了一些安全性,我使用了这样的头盔

app.use(helmet())

现在浏览器不允许我使用第三方库和内联脚本。你可以检查图像

所以我找到了解决方案。见下文

app.use(helmet({  contentSecurityPolicy: false}))

现在一切都解决了。我想知道为什么会发生这种情况如何使用 3rd 方库和内联脚本而不在头盔中设置 contentSecurityPolicy: false

我还发现我们必须在公共文件夹中包含一个 manifest.json 文件,并在其中提及所有第三方库。如何暗示?提前致谢在此处输入图像描述

4

1 回答 1

1

头盔维护者在这里。

之所以会发生这种情况,是因为 Helmet 默认设置的内容安全策略。要解决您的问题,您需要配置 Helmet 的 CSP。

MDN 有一个很好的关于 CSP 的文档,我建议您阅读作为背景知识。之后,查看Helmet 的 README以了解如何配置其 CSP 组件。

总之:要解决您的问题,您需要告诉 Helmet 配置您的 CSP。

于 2021-03-12T01:47:22.173 回答