我正在实现一个OpenID Connect客户端Web应用程序。用户在身份提供者中成功验证后,他们被重定向回我的Web应用程序。一旦到达,根据一些查询参数的值,他们会被重定向到一个URL。当重定向发生时,Chrome在控制台中抛出以下错误:
Refused to send form data to 'https://my-domain-a.com/' because it violates the following Content Security Policy directive: "form-action 'self' https://my-domain-b.com/receive-token".
经过一些搜索,我尝试添加一个Content-Security-Policy标头,如下所示:
content-security-policy: form-action 'self' https://my-domain-a.com
但这似乎没有任何影响,并且我仍然收到此消息。
我有2个问题:
我该如何解决这个问题?
为什么Chrome在301重定向时会抛出此错误?
form-action 'self' https://my-domain-b.com/receive-token。由于浏览器从身份验证提供者重定向到my-domain-b.com,再到my-domain-a.com,因此Chromium派生程序将从my-domain-b.com到my-domain-a.com的重定向标记为违反身份验证提供者设置的内容安全策略。不幸的是,我对规范的了解还不够,不能确定这两种不同浏览器所表现出的行为哪一种是最正确的...my-domain-b.com到my-domain-a.com进行301重定向,我改为让my-domain-b.com呈现一个简单的HTML页面,该页面立即提交到my-domain-a.com:
<html><body onload="window.location='https://my-domain-a.com?my_param=my_value'"/></html>
这个解决方案满足了Chromium派生程序,因为不再有重定向到未识别域名的情况。在我的情况下,使用Javascript是可接受的,因为用户被重定向到的站点是一个Angular应用程序,所以用户必须启用Javascript。