如何在启用头盔的情况下在nodejs应用程序中使用第三方库和内联脚本

Question

我正在开发一个nodejs应用程序，并实现了一些安全性，我使用了这样的头盔

app.use(helmet()) 

现在浏览器不允许我使用第三方库和内联脚本。你可以检查图像

所以我找到了解决办法。见下文

app.use(helmet({  contentSecurityPolicy: false}))

现在一切都解决了。我想知道为什么会发生这种情况，如何使用第三方库和内联脚本而不设置contentSecurityPolicy: false in头盔

我还发现，我们必须在公用文件夹中包含一个manifest.json文件，并在其中提到所有第三方库。那怎么暗示呢？提前感谢

​

Answer 1

头盔维修工在这里。

之所以会发生这种情况，是因为有一种叫做内容安全策略()的东西，在默认情况下它会设置头盔。为了解决您的问题，您需要配置头盔的CSP。

MDN有一个关于CSP的好文档。是我推荐的背景读物。然后，看看头盔自导，看看如何配置它的CSP组件。

总之:要解决你的问题，你需要告诉头盔配置你的CSP。