为什么Firefox忽略'unsafe-inline‘csp指令？

Question

使用Firefox 69.0.1。

在本地HTML文件中，我想在<script>标记中运行一个JavaScript脚本。但是，即使在添加了

<meta http-equiv="Content-Security-Policy" content="default-src *; script-src * 'unsafe-inline';">

对于HTML标题，Firefox仍然会抱怨如下：

Content Security Policy: The page’s settings blocked the loading of a resource at inline (“script-src”).

与错误关联的行是包含开始<script>标记的行。

<!DOCTYPE html>
<html lang="en" />
<head>
    <title>Title</title>

    <meta http-equiv="Content-Security-Policy" content="default-src * 'unsafe-inline'; script-src * 'unsafe-inline';">
    <meta charset="utf-8">

    <script>
        console.log("Foo, bar!");
    </script>

</head>

<body>Nothing interesting</body>

</html>

这在Chrome中是有效的。怎么了，Ff？你为什么这么刻薄？

Answer 1

您是否正在使用NoScript，并且忘记了从您的站点启用脚本？在这种情况下，同样的错误也会发生。

此外，您可能希望使用更广泛的策略，如：

Header set Content-Security-Policy "default-src 'none'; script-src 'self' 'unsafe-inline'; connect-src 'self'; img-src 'self'; style-src 'self' 'unsafe-inline';"