防止图像加载的内容安全策略

Question

我有一个快速应用程序，它正在加载一些外部资产，但它们被CSP阻止了。我以前从未遇到过这个问题，但这是我第一次在应用程序中使用passport.js和helmet.js，所以这可能与它们的配置有关吗？

Refused to load the image 'https://fake-url.com' because it violates the following Content Security Policy directive: "img-src 'self' data:".

我尝试添加一个元标记，以允许来自外部来源的图像，但这似乎没有任何效果。任何帮助都将不胜感激。

Answer 1

你有

content="default-src 'none'

这样可以防止从任何源加载资源。把它移开。

然后将其更改为：

default-src 'self' fake-url.com';

关于的更多信息如下：

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

https://content-security-policy.com/