当我尝试将我的应用程序部署到 Android 系统高于 5.0.0 ( Lollipop ) 的设备上时,我不断收到这些错误消息:
07-03 18:39:21.621: D/SystemWebChromeClient(9132): file:///android_asset/www/index.html: 第 0 行:拒绝加载脚本“http://xxxxx”,因为它违反了以下内容安全策略指令:“script-src ‘self’ ‘unsafe-eval’ ‘unsafe-inline’”。07-03 18:39:21.621: I/chromium(9132): [INFO:CONSOLE(0)] “拒绝加载脚本‘http://xxx’,因为它违反了以下内容安全策略指令:“脚本- src ‘self’ ‘unsafe-eval’ ‘unsafe- inline’”。
但是,如果我将其部署到 Android 系统为 4.4.x ( KitKat ) 的移动设备,则安全策略适用于默认策略:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">
然后我想,也许,我应该改成这样:
<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' 'unsafe-inline'; object-src 'self'; style-src 'self' 'unsafe-inline'; media-src *">
基本上,这两种选择都不适合我。我该如何解决这个问题?
它通过以下方式解决:
script-src 'self' http://xxxx 'unsafe-inline' 'unsafe-eval';
