我有一个装有 Ubuntu 18.04 的 Nginx 服务器和一个 Drupal 8 站点。
我读过几篇文章,说不应该使用“unsafe-eval”、“unsafe-inline”
我添加了安全标题,但网站的页面无法再正确加载。
这是我的 Nginx 配置和错误消息:
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header Referrer-Policy "strict-origin";
add_header Content-Security-Policy "default-src 'self' https: data:; base-uri 'self';";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header Feature-Policy "speaker 'none';";
拒绝应用内联样式,因为它违反了以下内容安全策略指令:“default-src 'self' https: data:”。要启用内联执行,需要“unsafe-inline”关键字、哈希值(“sha256-Wtc+ZaqA71uBsN9DYJuo5jJMS66UuS5tCIAZnHYzzak=”)或随机数(“nonce-...”)。另请注意,“style-src”未明确设置,因此“default-src”用作后备。