我在开发人员控制台得到一堆错误:

拒绝计算字符串 拒绝执行内联脚本，因为它违反了以下内容安全策略指示 拒绝加载脚本 拒绝加载样式表

这是怎么回事?内容安全策略(CSP)如何工作?如何使用内容安全策略HTTP报头?

具体来说，如何……

.．.允许多个信息源? .．.使用不同的指令? .．.使用多个指令? .．.处理港口? .．.处理不同的协议? .．.允许文件://协议? .．.使用内联样式，脚本和标签<style>和<script>? .．.允许eval () ?

最后:

“自我”到底是什么意思?

在这个简单的例子中，我试图用meta http-equiv报头设置一个CSP报头。我包括一个base64图像，我试图让Chrome加载图像。

我认为data关键字应该做到这一点， 但不知怎么的，它不管用。

我只是在开发工具中得到以下错误:

拒绝加载图像“data:image/png;base64,R0lGODlhDwAPAOZEAMkJCfAwMMYGBtZMTP75+euIiPFBP+hVVf3v7…nw7yk4Mjr6GLUY+joiBI2QAACABwJDCHgoKOHEoAYVBAgY8GGAxAoNGAmiwMHBCgccKDAKBAA7”，因为它违反了以下内容安全策略指令:“img-src 'self' data”。

示例代码(JSFiddle不适用于此示例，因为我不能在那里设置元标头):

<html>
<head>
<meta http-equiv="Content-Security-Policy" content="
        default-src 'none';
        style-src 'self' 'unsafe-inline';
        img-src 'self' data;
        " />
    <style>
        #helloCSP {
            width: 50px;
            height: 50px;
            background: url(data:image/png;base64,R0lGODlhDwAPAOZEAMkJCfAwMMYGBtZMTP75+euIiPFBP+hVVf3v7+iHh/JNTfh9dNUYGPjTvskXFfOLi/daVe96es4eHPWIiOqbi9dNRvzWwexdV9U1NeFSS94iIvuxodVGP/ZsZM8jI+ibm/alluQzMdxSSvbGstwsKu2Yid4iIfjQu/JnYO6djvajlMQEBPvLuOJdXeMxL/3jzPBSTdwqKNY2Mf3i4vU5OfbPz/3f3/zUv/zizO0tLc0NDfMzM+UlJekpKeEhId0dHdUVFdkZGdEREf///wAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACH5BAEAAEQALAAAAAAPAA8AAAepgESCRBsLEDQQCxuDgxYdO5CROx0WgywGAQEKM0M2CpkGN0QvMDmmE0OpE6Y5KEQqPbE9D6lDD7I9IBc8vDwRtRG9PBcuPsY+B7UHxz4hP8/PGghDCBrQPyYxQdvbBUMF3NskGUDl5QwtDOblGSVC7+8JNQnw7yk4Mjr6GLUY+joiBI2QAACABwJDCHgoKOHEoAYVBAgY8GGAxAoNGAmiwMHBCgccKDAKBAA7) no-repeat;
            border: 1px solid red;
        }
    </style>
</head>
<body>
<h1>CSP</h1>
    <div id="helloCSP"></div>
</body>
</html>

你也可以在这里打开这个例子: https://dl.dropboxusercontent.com/u/638360/ps/csp.html