Политика безопасности контента не загружает контент через HTTPS

Я использую Политику безопасности контента и у меня возникают проблемы при загрузке таблиц стилей, изображений и JavaScript через HTTPS

Все это отлично работает по HTTP, но как только я получаю страницу по HTTPS, я получаю ошибки в консоли Chrome, как это

Отказался от загрузки таблицы стилей
Http: //my-domain/public/css/bootstrap.min.cssпотому что это нарушает
следующая директива Content Security Policy: «style-src ‘self’
https://maxcdn.bootstrapcdn.com https://ajax.googleapis.com
https://fonts.googleapis.com
‘nonce-SLkcvNDK0InbqoywRHBvWE9qYBDXLlmu’ «. Логин: 1

что указывает на

<!DOCTYPE html>

Вот как создаются мои заголовки

// Set a sample rule
$csp_rules = "default-src 'self'; script-src 'self' 'nonce-".RANDOM."' https://ajax.googleapis.com https://maxcdn.bootstrapcdn.com https://connect.facebook.net; style-src 'self' https://maxcdn.bootstrapcdn.com https://ajax.googleapis.com https://fonts.googleapis.com 'nonce-".RANDOM."'; font-src 'self' https://maxcdn.bootstrapcdn.com https://fonts.gstatic.com; img-src 'self' https://ajax.googleapis.com; frame-src https://s-static.ak.facebook.com https://www.facebook.com;";

foreach (array("X-WebKit-CSP", "X-Content-Security-Policy", "Content-Security-Policy") as $csp){
header($csp . ": " . $csp_rules);
}

// Provides Clickjacking protection.
header('X-Frame-Options: deny');
// This header enables the Cross-site scripting (XSS) filter built into most recent web browsers.
header('X-XSS-Protection: 1; mode=block');
// Pevents Internet Explorer and Google Chrome from MIME-sniffing a response away from the declared content-type.
header('X-Content-Type-Options: nosniff');

Нужно ли что-нибудь добавить к правилу или это может быть что-то еще?

РЕДАКТИРОВАТЬ:

Вот как выглядит ссылка на таблицу стилей в источнике

<link rel="stylesheet" href="https://my-domain/public/css/bootstrap.min.css">

0

Решение

Задача ещё не решена.

Другие решения

Других решений пока нет …