我在页面加载时使用 CAPTCHA ,但由于某些安全原因它被阻止。
我面临这个问题:
<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">
<script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async defer></script>
我使用了以下 JavaScript 和元标记:
---1---
原文由 Shakti Sharma 发布,翻译遵循 CC BY-SA 4.0 许可协议
您说过您只能从您自己的站点(自己)加载脚本。然后,您尝试从另一个站点 ( www.google.com ) 加载脚本,并且由于您对此进行了限制,因此您不能。这就是 内容安全策略(CSP) 的全部意义所在。
您可以将第一行更改为:
或者,在您了解有关 CSP 的更多信息之前,可能值得完全删除该行。无论如何,您当前的 CSP 非常宽松(允许
unsafe-inline
、unsafe-eval
和*
的default-src
),所以说实话,它可能不会增加太多价值。