内容安全策略，包括脚本

Question

我需要包括这个脚本https://apis.google.com/js/api:client.js在我的网站。在Google上，它工作得很好，但是在Firefox (和IE显然)上，我得到了一些错误：

内容安全策略:忽略脚本-src中指定的“不安全-内联”：“严格-动态” 内容安全策略:忽略脚本-src：‘严格-动态’中指定的“https：” 内容安全策略:忽略脚本-src中指定的“http：”指定的“严格-动态”

我试图在元标记中更改内容安全策略头，但它没有工作。

我试过所有这些：

<meta http-equiv="Content-Security-Policy" content="default-src 'none'; img-src 'self'; script-src 'self' apis.google.com; style-src 'self';">
<meta http-equiv="Content-Security-Policy" content="default-src 'self' apis.google.com">
<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' https://*.google.com; object-src 'self' 'unsafe-eval'"> 
<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' apis.google.com;">

Answer 1

我知道这个问题已经存在一年了，但它仍然是搜索这个问题的第一件事之一，而且至今还没有正确的答案。

我明白。我是那种喜欢在生产中看到原始控制台的人之一，所以像这样的东西让我抓狂，但实际上我们对此无能为力。Firefox正在向控制台报告警告，而它不应该这样做。

Mozilla和谷歌都建议在CSP3 3的“严格-动态”的同时，包括后备的CSP1政策。理解“严格-动态”的浏览器应该忽略CSP1策略，而不应该忽略未识别的“严格-动态”并遵循CSP1策略的浏览器。要害词是忽略的。真正的忽视包括不宣布你在忽视。

Answer 2

您必须编辑CSP头，不是在HTML上，而是在服务器HTTP头上，您对服务器有控制权吗？

元标记等将被忽略，因为HTTP头优先，首先修复它们。