csp ヘッダーを使用してページを保護しています。と の両方を設定X-Content-Security-PolicyしX-Webkit-CSPました。次の値に:
default-src 'self';
object-src 'none';
frame-src 'self' *.youtube.com;
style-src 'self' https://ajax.googleapis.com;
script-src 'self' https://ajax.googleapis.com;
report-uri /csp_report
すべて正常にロードされますが、クロムで次のエラーが発生します。他のブラウザではまだテストしていません。
Refused to apply inline style because it violates the following Content
Security Policy directive: "style-src 'self' https://ajax.googleapis.com".
現在のドメインのスクリプトの行を参照して、インライン スタイルを含む HTML を挿入しようとしています。script-src を使用してホワイトリストに登録したスクリプトを許可する方法はありますか? ajax.googleapis.com でホストされている jquery でも同じエラーが発生します。