内容安全策略:页面设置阻止内联资源的加载(“script-src”)

Question

我已经将s3静态网站+ CloudFront配置为lambda@Edge + aws认知。当我打开Cloudfront URL后，通过认知验证，它会显示上面的错误，由于安全问题，它无法加载页面。

存储库：https://github.com/qoomon/aws-s3-bucket-browser

参考链接：https://medium.com/@saurishkar/setting-up-aws-http-authentication-on-cloudfront-s3-using-cognito-and-lambda-edge-166ee38d471e

添加到HTML下面的行，但仍然给出一个错误。

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' * ">

错误:内容安全策略:页面设置阻止内联资源的加载(“script-src”)

误差截图

任何帮助都很感激。

Answer 1

CSP可以用headers和HTTP标记来表示，但是headers优于<meta>标记。

如果使用<meta>标记添加了CSP，但之前有CSP相关的错误消息，那么您没有做任何有用的事情，因为现有的headers将覆盖<meta>标记。

再次删除<meta>标记。然后更改HTTP头。