问题描述

之前服务未配置nginx，直接使用公网ip访问，cdn、接口等资源访问均未出现过问题，但是今天配置nginx使用域名访问服务时，浏览器控制台报错：Refused to load the script xxxxxx because it violates the following Content Security Policy directive:"script-src 'self' xxxxxxxxxxxxx。经查阅网上资料得知这是浏览器的内容安全策略（Content-Security-Policy）使得访问受限，必须指定可信的内容来源。

问题解决

nginx配置中在server块中增加如下配置即可

add_header Content-Security-Policy "default-src 'self' xxx.xxx.com(可信内容来源域名,多个域名之间空格隔开) 'unsafe-inline' 'unsafe-eval' blob: data: ;";
add_header X-Xss-Protection "1;mode=block";
add_header X-Content-Type-Options nosniff;

参考自：
https://www.cnblogs.com/heyuqing/p/6215761.html
https://blog.csdn.net/m0_46266503/article/details/108500504