未检测到CSP报头

Question

由于某种原因，Mozilla天文台和CSP验证器都没有在我的.htaccess文件中检测到CSP头，但是当通过Chrome查看时，头是可见的。

以下是我的.htaccess文件中的当前CSP头；

Content-Security-Policy: script-src 'nonce-$RANDOM' 'strict-dynamic' 'unsafe-inline' object-src 'none'; base-uri 'none'; report-uri https://altfit.report-uri.com/r/d/csp/enforce;

另外，我还注意到现在没有工作，内联脚本仍然在加载，但如果我修改了CSP，它可以限制脚本的执行和内联元素的显示。

信息:服务器是光速。PHP版本为7.1

Answer 1

通过修改.htaccess中的行来修正这个问题，如下所示；

 Header set Content-Security-Policy: "default-src https: 'unsafe-inline'; report-uri https://altfitcom.report-uri.com/r/d/csp/enforce;"

现在唯一的问题是增加不安全的内联，但据我所读到的严格动态和现在不工作作为跨平台的解决方案，我必须有一些点击事件内联js。