Политика безопасности содержимого вызывает ошибку в проекте Liferay 7

Question

Как часть нового требования безопасности от клиента, я добавил «Политику безопасности контента» в свое приложение Liferay:

response.setHeader(
    "Content-Security-Policy",
    "default-src 'none'; script-src 'unsafe-inline' *.googleapis.com; style-src 'self' *.googleapis.com;font-src 'self' *.gstatic.com;connect-src ; img-src 'self' data:;base-uri 'none';frame-ancestors 'none';");

Но я получаю ошибку ниже

Отказался от загрузки сценария 'http://localhost:8080/o/js_loader_modules?t=1536146336645', поскольку он нарушает следующую директиву политики безопасности содержимого: "script-src' unsafe-inline '* .googleapis.com".

Локальный сервер запущен и работает localhost: 8080. Как это решить?

Answer 1

Похоже, CSP блокирует загрузку вашего собственного скрипта и допускает только встроенные теги <script> из googleapis.com. Вы должны попытаться добавить 'self' к своим правилам CSP, потому что это означает, что вы можете использовать скрипты из своего собственного домена.

script-src 'self' 'unsafe-inline' *.googleapis.com;