这是一篇有点具体的文章,但我试图在使用Content Security Policy 的页面上获取内联图像。目标页面具有以下内容:
<img src="data:image/png;base64,[...]==" />
我认为用data表示的图像是unsafe-inline ,就像内联 CSS 样式一样。我错了:
Content-Security-Policy: default-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' 'unsafe-inline';
解决方案是使用data: ,它也不需要引号
Content-Security-Policy: img-src 'self' data:;感谢信息安全堆栈交换上的回复为我指明了正确的方向。
作者: Ruben Schade ,悉尼,2025 年 2 月 9 日。
原文: https://rubenerd.com/content-security-policy-for-inline-data-images/