ASP.NET MVC应用程序内置Javascript片段防止其他JavaScript工作

Question

我刚刚更新了Content-Security-Policy文件中的Web.Config设置，并在Web.Config _Layout.cshtml中添加了应用程序洞察JavaScript片段。

下面是Content-Security-Policy在Web.config中的样子。

 script-src-elem 
    'self' 
    'unsafe-inline' 
    'unsafe-eval' 
     https://az416426.vo.msecnd.net/scripts/b/ai.2.min.js
     *.mymapjs.com
script-src 
    'self' 
    'unsafe-inline' 
    'unsafe-eval' 
     https://az416426.vo.msecnd.net/scripts/b/ai.2.min.js
     *.mymapjs.com

mymapjs.com已经不能正常工作了，我的地图没有显示出来，我的浏览器对我生气了，用红色字母对我大喊大叫，说出了错误：

CORS策略阻止了来自“mymapjs.com”的对mymapjs.com的访问:对飞行前请求的响应不通过访问控制检查:它没有HTTP状态。

当我将https://az416426.vo.msecnd.net/scripts/b/ai.2.min.js url从Web.config Content-Security-Policy中移除时，就会收到警告：

拒绝加载脚本'https://az416426.vo.msecnd.net/scripts/b/ai.2.min.js‘，因为它违反了以下内容安全策略指令：“脚本-src-elem’不安全-内联‘’不安全-eval‘.mymapjs.com use.other.net use.ther.net/ https://myfont.net/it.js

Answer 1

结果，我在enableCorsCorrelation = true中启用了应用程序洞察配置。，所以我尝试用mymapjs.com的通配符值更新correlationHeaderExcludedDomains值。

correlationHeaderExcludedDomains:
                    [
                        'myapp.azurewebsites.net',
                        '*.queue.core.windows.net',
                        '*.mymapjs.com'
                    ]

单凭这张外卡是行不通的。我必须严格地输入JS库，urls、和都有通配符才能正常工作。它需要直接从_Layout.cshtml请求的脚本以及从JS库生成的脚本。

correlationHeaderExcludedDomains:
                    [
                        'myapp.azurewebsites.net',
                        '*.queue.core.windows.net',
                        '*.mymapjs.com'
                        'https://mymapjs.com-core-events.js'
                        'https://mymapjs.com-services.js'
                        'https://mymapjs.com-ui-services.js'
                    ]

如果其他人搞清楚了，我希望这能帮上忙。