問題描述

網(wǎng)頁被插入一些莫名其妙的東西，由于某種原因不能開啟https，如果決定使用Content-Security-Policy。這是nginx server端的Content-Security-Policy配置

然后瀏覽器查看Font被干掉了，不知道該怎么搞了。

問題解答

服務(wù)器-->網(wǎng)絡(luò)-->用戶瀏覽器。 服務(wù)器沒錯(cuò)，瀏覽器沒錯(cuò)。網(wǎng)頁被插入一些莫名其妙的東西，有人在在網(wǎng)絡(luò)傳輸中插入和修改的數(shù)據(jù)（常見的有DNS劫持和HTTP流量劫持）。 而HTTP是明文協(xié)議，所以被劫持非常常見。最后，你增加了一個(gè)控制的HTTP HEADER，別人也很容易刪除它。至于你在題中附的圖片，我看不太清，所以沒有當(dāng)做參考（后續(xù)使用HAR文件可能比較合適）。