由于内容安全策略，Facebook即时游戏无法从cloudflare.com加载脚本

Question

在我的Facebook即时游戏中，我尝试静态地从cloudflare.com加载脚本，例如：

<script src="https://cdnjs.cloudflare.com/ajax/libs/es5-shim/4.5.7/es5-shim.min.js"></script>
<script src="https://cdnjs.cloudflare.com/ajax/libs/gsap/1.20.2/TweenMax.min.js"></script>
<script src="https://cdnjs.cloudflare.com/ajax/libs/pixi.js/4.8.5/pixi.min.js"></script>

但是获取Chrome浏览器错误：

拒绝加载脚本'https://cdnjs.cloudflare.com/ajax/libs/es5-shim/4.5.7/es5-shim.min.js‘，因为它违反了以下内容安全策略指令：" script -src 'self’不安全-inline‘*.facebook.com connect.facebook.net cdn.mixpnl.com *..google Analytics.com web.localytics.com *.googletagmanager.com blob：*.cloudfront.net *.amazonaws.com *.googleapis.com *.firebaseapp.com *.firebaseio.com *.8686c.com *.cncovs.com *.aliyun.com *.aliyuncs。com *.wsdvs.com *.console.re *.kunlunar.com *.layabox.com *.windows.net *.msecnd.net *.anysdk.com cdn.trackjs.com cdn.firebase.com *.kochava.com *.akamaized.net *.hinet.net *.playfab.com code.createjs.com *.zdassets.com websdk.appsflyer.com“。请注意，“script-src-elem”没有显式设置，因此“script-src”用作回退。

有办法从cloudflare加载脚本吗？

Answer 1

内容安全策略是减轻XSS (跨站点脚本)攻击的方法之一。

为了允许您的站点/应用程序从cdnjs.cloudflare.com加载脚本，您需要在Content-Security-Policy HTTP响应头的script-src指令中添加/追加域。

几个示例实现

httpd.conf：

Header set Content-Security-Policy "script-src 'self' ...(snipped)... cdnjs.cloudflare.com;"

nginx.conf：

add_header Content-Security-Policy "script-src 'self' ...(snipped)... cdnjs.cloudflare.com;";

然后确保在重新加载或重新启动httpd/nginx服务之前运行checkconfig。