允许任何请求的正确的Content-Security-Policy元标记定义是什么？

Question

我换成了新的Cordova插件，这些插件现在托管在npm上，白名单插件生成了"No Content-Security-Policy“元标签错误，所以我想我应该尝试一下文档中的一个元标签，它听起来像是允许任何请求通过。这是我在documentation中使用的

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">

使用该meta标记，我调用第三方API来获取javascript资源，这就是我现在得到的错误：

Refused to load the script https://example.net/path/control.ashx?querystring=value because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' 'unsafe-eval'

Answer 1

尝试：

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *; script-src 'self' https://domain.net">

允许脚本请求"https://domain.net“。有关这方面的文档可以是found here。如果也从网络中拉取数据，您可能还需要查看connect-src。

Answer 2

为了让它在全局范围内允许任何请求，这个解决方案最终对我有效：

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src * 'unsafe-inline'; script-src * 'unsafe-inline' 'unsafe-eval';">

在script-src中省略unsafe-inline和unsafe-eval对我来说是行不通的。