最近有朋友在装完新宽带、配好光猫和路由器后,打开网页调试时发现 Chrome 控制台一堆红字:Refused to load the script 'xxx.js' because it violates the following Content Security Policy directive: "script-src 'self'"。一看就头大,以为是网站代码崩了,其实问题可能根本不在网页,而在你家的宽带设置里。
不是网站的问题,是你家路由器在“偷偷拦路”
不少中低端家用路由器(尤其某些运营商定制版光猫),默认启用了“HTTP内容过滤”或“安全防护”功能。它会自动往你访问的每个网页里插入自己的 JS 脚本——比如加个统计代码、弹个广告、或者强制跳转到本地登录页。Chrome 一看:这脚本没经过网站授权,来源不明,立马按 CSP 规则拒载,并在控制台甩出一串 CSP 错误。
怎么确认是不是路由器干的?
很简单:用手机连自家 Wi-Fi,打开 Chrome → 地址栏输 chrome://inspect → 点“Configure” → 勾上你的路由器 IP(比如 192.168.1.1)→ 回到网页,刷新再看控制台。如果错误里的 script 地址指向 http://192.168.1.1/xxx.js 或类似内网地址,八成就是它。
解决方法很直接
登录路由器后台(通常是 192.168.1.1 或 192.168.0.1),找这几个地方关掉:
- “高级设置” → “HTTP增强防护” → 关闭
- “安全中心” → “网页安全过滤” → 关闭
- “系统工具” → “URL 过滤/内容注入” → 禁用
不同品牌叫法略有差异,华为叫“Web 安全加速”,中兴叫“智能加速插件”,TP-Link 叫“家长控制-网页过滤”,核心都是同一个东西:往网页里塞私货。
临时绕过(仅测试用)
如果暂时没法进后台,可在 Chrome 地址栏输入:
chrome://flags/#unsafely-treat-insecure-origin-as-securehttp://192.168.1.1),设为 Enabled。但注意:这只是开发调试用,别长期开着,有安全风险。宽带装好了,网络通了,不代表一切就顺了。有时候那条看不见的“内容拦截线”,就藏在光猫背面的设置菜单里。