У меня есть веб-приложение ASP.NET, в котором используется asp-validation-summary
. Из-за этого к элементу HTML на моей странице добавляется строчный style
.
Это дает мне следующую ошибку в консоли (Chrome v78.0.3904.108), когда я запускаю свое приложение:
Отказался от применения встроенного стиля, поскольку он нарушает следующую директиву политики безопасности контента: "style-src 'self' https://fonts.googleapis.com ". Для включения встроенного выполнения требуется либо ключевое слово 'unsafe-inline', либо хэш ('sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE ='), либо одноразовый номер ('nonce -...').
Итак, я добавил хеш в свой CSP, который теперь выглядит так:
style-src 'self' https://fonts.googleapis.com 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE=';
Когда я загружаю свою страницу, я все равно получаю аналогичную ошибку:
Отказался от применения встроенного стиля, поскольку он нарушает следующую директиву политики безопасности контента: "style-src 'self' https://fonts.googleapis.com 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE =' ". Для включения встроенного выполнения требуется либо ключевое слово 'unsafe-inline', либо хэш ('sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE ='), либо одноразовый номер ('nonce -...').
Это весь заголовок CSP:
X-Content-Security-Policy: default-src 'self'; object-src 'none'; frame-ancestors 'none'; sandbox allow-forms allow-same-origin allow-scripts; base-uri 'self'; upgrade-insecure-requests; style-src 'self' https://fonts.googleapis.com 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='; font-src 'self' https://fonts.gstatic.com;
Как видите, я добавил хеш, как указано в ошибке. Это также похоже на .
Но почему это не работает?