コンテンツセキュリティポリシーの問題

Question

以下のコードをhtaccessで使用していますが、何らかの理由でコンソールにエラーメッセージが表示されます。問題は何ですか？

おかげで、

<IfModule mod_headers.c> 
Header set Content-Security-Policy "script-src 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com" 
</IfModule> 

Answer 1

あなたのページにインラインスクリプトを持っている、すなわち、このような何か：

<script> 
... 
</script> 

これは直接HTMLまたはコンポーネントのいずれかであります（例えば、あなたがあなたに引っ張ってくれるFacebookのウィジェットがこれを追加します）、おそらくあなたのブラウザが使用するブラウザの拡張機能で使用されます。

あなたはこのようなあなたの設定に危険なインラインを追加することで、このオンラインのスクリプトを許可することができます。

<IfModule mod_headers.c> 
Header set Content-Security-Policy "script-src 'unsafe-inline' 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com" 
</IfModule> 

しかし、これは、具体的不正を防止するために設計されたコンテンツセキュリティポリシー（CSP）の保護のほとんどを台無しにしてしまいますクロスサイトスクリプティング（XSS）などのセキュリティ上の問題を防ぐために、サイトで実行されるスクリプト。

私は、CSPを実装する前にそれをもっと読むことをお勧めします。私のブログ記事をスターターとしてここに提案できます：https://www.tunetheweb.com/security/http-security-headers/csp/