javascript - Warum importiert HTML eine externe JS-Datei zum Speichern und weigert sich, das Skript zu laden?

Question

Die folgende Fehlermeldung lautet:
Das Laden des Skripts „http:// wurde abgelehnt */js/track.js‘, weil es gegen die folgende Richtlinie zur Inhaltssicherheit verstößt: „default-src https: data: ‚unsafe-inline‘ ‚unsafe-eval‘ ‚self‘ .qq.com .flzhan.com .gtimg.com .share.baidu.com .gtimg.cn .qlogo.cn img.hb.aicdn.com pub.idqqimg.com nsclick.baidu.com ajax.googleapis.com .qpic.cn Code .jquery.com cdn.bootcss.com .sec.qq.com .sinaimg.cn wvjbscheme://* creativecommons.org www.w3.org purl.org tnm2.oa.com statics.dnspod.cn doksoft.com js.plus weixinping weixinpreinject weixin jsbridge“. Beachten Sie, dass „script-src“ nicht explizit festgelegt wurde, sodass „default-src“ als Fallback verwendet wird.

Die importierte Datei wird so importiert

<script type="text/javascript" src="http://****/js/track.js"></script>

HTML-Header sieht so aus

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN""http://www.w3.org/TR/html4/loose.dtd">
<html class="VACT_body_page_text10"   >
<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=320,minimum-scale=0.5, maximum-scale=5, user-scalable=no">
    <meta name="format-detection" content="telephone=no">

Ich habe versucht, die js-Datei in die Site einzufügen, und die in die Site importierte js-Datei hat ebenfalls diesen Fehler gemeldet. Was ist los? Danke

Answer 1

Note that 'script-src' was not explicitly set, so 'default-src' is used as a fallback.
从报错信息来看，你们的资源配置信息错了，把一些东西给屏蔽了。

<meta http-equiv="Content-Security-Policy" content="default-src 'self' http://XX.XX.XX.XX ">
//试试加上这个 地址是自己服务器地址

---

<meta http-equiv="Content-Security-Policy" content="default-src *;
 frame-src 'self' wvjbscheme://*;
 style-src 'self' http://*.xxx.com 'unsafe-inline';
 script-src 'self' 'unsafe-inline' 'unsafe-eval' http://*.xxx.com;">
//加强版 只要default和js的配置就好， 其他的看需要