問題描述

網頁被插入一些莫名其妙的東西，由于某種原因不能開啟https，如果決定使用Content-Security-Policy。這是nginx server端的Content-Security-Policy配置

然后瀏覽器查看Font被干掉了，不知道該怎么搞了。

問題解答

服務器-->網絡-->用戶瀏覽器。 服務器沒錯，瀏覽器沒錯。網頁被插入一些莫名其妙的東西，有人在在網絡傳輸中插入和修改的數據（常見的有DNS劫持和HTTP流量劫持）。 而HTTP是明文協議，所以被劫持非常常見。最后，你增加了一個控制的HTTP HEADER，別人也很容易刪除它。至于你在題中附的圖片，我看不太清，所以沒有當做參考（后續使用HAR文件可能比較合適）。