我正在开发一个 nodejs 应用程序并实现了一些安全性,我使用了这样的头盔
app.use(helmet())
现在浏览器不允许我使用第三方库和内联脚本。你可以检查图像
所以我找到了解决方案。见下文
app.use(helmet({ contentSecurityPolicy: false}))
现在一切都解决了。我想知道为什么会发生这种情况如何使用 3rd 方库和内联脚本而不在头盔中设置 contentSecurityPolicy: false
我正在开发一个 nodejs 应用程序并实现了一些安全性,我使用了这样的头盔
app.use(helmet())
现在浏览器不允许我使用第三方库和内联脚本。你可以检查图像
所以我找到了解决方案。见下文
app.use(helmet({ contentSecurityPolicy: false}))
现在一切都解决了。我想知道为什么会发生这种情况如何使用 3rd 方库和内联脚本而不在头盔中设置 contentSecurityPolicy: false
头盔维护者在这里。
之所以会发生这种情况,是因为 Helmet 默认设置的内容安全策略。要解决您的问题,您需要配置 Helmet 的 CSP。
MDN 有一个很好的关于 CSP 的文档,我建议您阅读作为背景知识。之后,查看Helmet 的 README以了解如何配置其 CSP 组件。
总之:要解决您的问题,您需要告诉 Helmet 配置您的 CSP。