如何对本地主机文件使用内容-安全性-策略

Question

我的页面上出现了以下错误：

Refused to load the script 'http://127.0.0.1:35729/livereload.js' because it violates the following Content Security Policy directive: "script-src https: 'unsafe-inline' 'unsafe-eval'".

<meta http-equiv="Content-Security-Policy" content="default-src * 'unsafe-inline'; style-src * 'unsafe-inline'; script-src * 'unsafe-inline' 'unsafe-eval'; img-src * data: 'unsafe-inline'; connect-src * 'unsafe-inline'; frame-src *;">
 </head>
 <body>
    <script src="http://127.0.0.1:35729/livereload.js"></script>

我试着使用一个完全开放的，只是让它工作，然后向后工作，但我甚至得到了同样的错误。

要明确的是，这并不是为了执行代码，这只是为了在使用https的域上启用我的live webpack。

Answer 1

您可以使用localhost:，尽管我认为在这种情况下使用'self' (包括单引号)也足够了。在一些奇怪的情况下，*实际上并不是所有的(例如，我认为blob:也被排除在*之外)。

和往常一样，用谷歌的评价者优先查看你的CSP是件好事。