Заголовок CSP (контент-политика безопасности) неверно

Question

У меня проблемы с моими сайтами javascript, на главной странице выпадающий список в bootstrap не будет работать, однако в подкаталоге он работает отлично. мой заголовок CSP выглядит следующим образом:

script-src 'self' //ajax.cloudflare.com 

Из моего понимания документации CSP; пробелы позволят ввести более одной записи в директиве. «script-src»

То, что я не понимаю, это то, почему он не работает на главной странице. Я здесь в недоумении.

ошибка:

index.php:10 Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' //ajax.cloudflare.com". Either the 'unsafe-inline' keyword, a hash ('sha256-safag'), or a nonce ('nonce-...') is required to enable inline execution. 

Answer 1

Фиксированный с:

$cspheader = "'default-src':'none' 'script-src':'self' 'unsafe-eval' //ajax.cloudflare.com/'font-src': 'self' 'connect-src':'self' 'img-src':'self' 'style-src':'self' 'media-src':'self'"; 
header("Content-Security-Policy: ". $cspheader);