次のコンテンツセキュリティポリシーの指示に違反しているため、スクリプトの読み込みを拒否しました

あなたのメタタグを以下のように置き換えてみてください。

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' http://* 'unsafe-inline'; script-src 'self' http://* 'unsafe-inline' 'unsafe-eval'" />

あるいは、あなたが持っているものに加えて、上記のように 'self'の後に追加されたhttp://*とstyle-srcの両方にscript-srcを追加するべきです。

サーバーにContent-Security-Policyヘッダーが含まれている場合、headerはmetaをオーバーライドします。

MagngooSasaによる自動回答がうまくいきましたが、回答を理解しようとしている他の人のために、もう少し詳しく説明します。

Visual StudioでCordova Appsを開発する際に、リモートのJavaScriptファイル[ここにあります http://Guess.What.com/MyScript.js] をインポートしようとしましたが、タイトルにエラーがあります。

これは、プロジェクトのindex.htmlファイルにあるBEFORE前のメタタグです。

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">

これは、リモートスクリプトをインポートできるようにするための、CORRECTEDメタタグです。

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *;**script-src 'self' http://onlineerp.solution.quebec 'unsafe-inline' 'unsafe-eval';** ">

そしてこれ以上のエラーはありません！

これを使った：

<meta http-equiv="Content-Security-Policy" content="default-src gap://ready file://* *; style-src 'self' http://* https://* 'unsafe-inline'; script-src 'self' http://* https://* 'unsafe-inline' 'unsafe-eval'">

この追加についてもう少し詳しく説明する

script-src 'self' http://somedomain 'unsafe-inline' 'unsafe-eval';    

こんなメタタグに

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; script-src 'self' https://somedomain.com/ 'unsafe-inline' 'unsafe-eval';  media-src *">

エラーを修正

完全な説明をお探しの方は、コンテンツセキュリティポリシーをご覧になることをお勧めします。 https://www.html5rocks.com/en/tutorials/security/content-security-policy/ 。

msgstr "" https://mybank.com のコードは https://mybank.com のデータにのみアクセスでき、 https：// evil） ".example.com 確実にアクセスを許可されるべきではありません。各Originは他のWebサイトから隔離されています。"

XSS攻撃は、ブラウザがアプリのコードを他のWebサイトからダウンロードしたコードと区別できないことに基づいています。そのため、HTTPヘッダーContent-Security-Policyを使用して、コンテンツを安全にダウンロードできると見なすコンテンツの起源をホワイトリストに登録する必要があります。

このポリシーは、一連のポリシー指令を使用して記述されます。各ポリシー指令は、特定のリソースタイプまたはポリシー領域のポリシーを記述します。ポリシーにdefault-srcポリシーディレクティブを含める必要があります。これは、他のリソースタイプに独自のポリシーがない場合の代替方法です。

そのため、タグを次のように変更したとします。

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *;**script-src 'self' http://onlineerp.solution.quebec 'unsafe-inline' 'unsafe-eval';** ">

あなたは、起源script-src、'self'、http://onlineerp.solution.quebec、'unsafe-inline'からJavacsriptコード（'unsafe-eval'）の実行を承認していると言っています。

私は最初の2つがあなたのユースケースに本当に有効であると思います、私は他のものについて少し確信がありません。 'unsafe-line'と'unsafe-eval'はセキュリティ上の問題を引き起こすので、特に必要がない限り、これらを使用しないでください。

「evalとそのテキストからJavaScriptへの変換がアプリケーションにとって非常に重要な場合は、script-srcディレクティブで 'unsafe-eval'を許可されたソースとして追加することでそれらを有効にできます。文字列を実行する機能により、攻撃者があなたのサイト上で不正なコードを実行することがはるかに困難になります。」 （Mike West、Google）

このポリシーを無視するためにメタタグを追加しても問題は解決しませんでした。Webサーバーが応答にContent-Security-Policyヘッダーを挿入しているためです。

私たちの場合は、Tomcat9 Javaベースのアプリケーション用のWebサーバーとしてNgnixを使用しています。Webサーバーからはinline scriptsを許可しないようブラウザに指示しているので、一時的なテストのためにコメントしてContent-Security-Policyをオフにしました。

ngnixでどうやってオフにするの？

• デフォルトでは、ngnix ssl.confはレスポンスにこの追加ヘッダを持ちます。

  #> grep 'Content-Security' -ir /etc/nginx/global/ssl.conf add_header Content-Security-Policy "default-src 'none'; frame-ancestors 'none'; script-src 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; form-action 'self';";

• この行をコメントアウトしてngnixを再起動しただけでは、応答にヘッダーが追加されないはずです。

セキュリティまたは本番環境に関心がある場合は、これに従わないでください。これらの手順は、テスト目的のためだけに使用してください。