华为云扫描提示——Content-Security-Policy头配置错误（v2）

按v1版本（V1版本）解决后任然扫描出此漏洞：

再次查找解决方案：参考资料
Nginx配置“Content-Security-Policy”头 、“X-XSS-Protection”头 和“X-Content-Type-Options”头

如上图配置，文件位置：nginx/conf/nginx.conf

add_header X-Frame-Options "SAMEORIGIN";

add_header X-XSS-Protection "1; mode=block";

add_header X-Content-Type-Options "nosniff";

add_header Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.example.cn; style-src 'self' http://* 'unsafe-inline';";

//说明：

//script-src 'self' 'unsafe-inline' 'unsafe-eval' *.example.cn;  代表代码只允许同源以及*.example.cn下的js资源（*代码通配符，如果只有一个域名则直接写域名即可，要是多个域名，用空格隔开，例如：script-src 'self' 'unsafe-inline' 'unsafe-eval' api.example1.cn dns.example2.cn;）。

// 'unsafe-inline'  代表允许行内代码执行

// 'unsafe-eval' 代表允许不安全的动态代码执行,比如 JavaScript的 eval()方法

//style-src 和 script-src一样