1

当我将 datalist 与 Content-Security-Policy" content="default-src 'self'" 一起使用时,它会给出错误,“拒绝应用内联样式,因为它违反了以下内容安全策略指令:”default-src 'self' ”。启用内联执行需要“unsafe-inline”关键字、哈希(“sha256-pIL...”)或随机数(“nonce-...”)。请注意,哈希不适用于事件处理程序、样式属性和 javascript: 导航,除非存在“unsafe-hashes”关键字。另请注意,'style-src' 未明确设置,因此 'default-src' 用作后备。”。

数据列表在浏览器中按我希望的那样工作,但是错误消息很烦人。由于我希望尽可能保持安全性,因此我不想将 Content-Security-Policy 更改为 unsafe-inline。你能给我一个提示来解决这个问题吗?

<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <meta http-equiv="Content-Security-Policy" content="default-src 'self'">
</head>
<body>
   <label for="animalList" class="form-label">animal</label>
   <input class="form-control" list="animalOptions" id="animalList" placeholder="">
   <datalist id="animalOptions">
     <option value="dog">
     <option value="cat">
   </datalist>
</body>
</html>
4

2 回答 2

2

要摆脱此错误,只需添加到您的 CSP 中:

style-src-attr 'sha256-pILX+5FGCpLRHvNBgtABIdSMmytrYudGxJBUYXY1t0s=' 'unsafe-hashes';

该指令仅适用于 Chromium 引擎的浏览器并适用于style=属性。其他浏览器将遵循style-src规则。对于<style>...</style>块,Chrome 也会遵循style-src规则。

于 2021-07-08T20:08:37.533 回答
0

这似乎是基于 chromium 的浏览器(包括 Edge)中的一个新错误。它没有出现在 Firefox v89 中。

于 2021-07-07T13:18:39.577 回答