У вас есть встроенный скрипт на вашей странице, т.е. что-то вроде этого:
<script>
...
</script>
Это либо непосредственно в вашем HTML, либо в используемом компоненте (например, виджет Facebook, который вы добавляете на свою страницу, добавляет это), или, возможно, в расширении браузера, которое использует ваш браузер.
Вы можете разрешить этот онлайн-скрипт, добавив unsafe-inline в свою конфигурацию следующим образом:
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'unsafe-inline' 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com"
</IfModule>
Однако это нарушит большинство средств защиты Политики безопасности контента (CSP), которая специально разработана для предотвращения запуска мошеннических скриптов на вашем сайте, чтобы предотвратить проблемы безопасности, такие как межсайтовый скриптинг (XSS).
Я предлагаю вам больше прочитать о CSP, прежде чем внедрять его. Могу предложить свой собственный пост в блоге здесь в качестве стартового: https://www.tunetheweb.com/security/http-security-headers/csp/
person
Barry Pollard
schedule
06.05.2016
