Обмен Azure не работает после применения политики безопасности содержимого - PullRequest
Новая
       6

Обмен Azure не работает после применения политики безопасности содержимого

0 голосов
/ 02 февраля 2019

Я только что применил Политику безопасности контента к своему веб-приложению Azure в своей среде разработки, и она работает нормально.

Я также могу загрузить ее на свой промежуточный сайт в Azure, и она там работает нормально, иполитика правильно применяется, а затем применяется моим браузером.Однако, когда я делаю своп, я получаю следующую ошибку:

Невозможно поменять местами слоты для сайта «MySite», так как рабочий процесс в слоте «промежуточный» прервал запрос на прогрев.Это может произойти, если на сайте есть ограничения IP или правила перезаписи URL, которые блокируют запросы HTTP.

Вот политика, которую я применяю (как определено в моем web.config ) 

<add name="Content-Security-Policy"
     value="default-src     'none';
            script-src      'self' https: 'unsafe-inline' 'unsafe-eval';
            style-src       'self' https: 'unsafe-inline';
            img-src         'self' https: 'unsafe-inline' data: blob:;
            connect-src     'self' https:;       
            font-src        'self' https:;
            object-src      'none';
            media-src       'self';
            child-src       'self';
            form-action     'self';
            frame-ancestors 'none'"/>

В чем проблема?

1 Ответ

0 голосов
/ 02 февраля 2019

Azure не нравится возврат каретки в значении Content-Security-Policy в web.config.

Если вы изучите web.config с помощью приложения Редактор служб (который доступен через портал Azure), затем вы увидите, что возврат каретки был закодирован и преобразован в

Создание следующего недопустимого CSPвот почему своп не работает:

default-src 'none';script-src 'self' https: 'unsafe-inline' 'unsafe-eval';style-src 'self' https: 'unsafe-inline';img-src 'self' https: 'unsafe-inline' data: blob :;connect-src 'self' https :;font-src 'self' https :;object-src 'none';media-src 'self';child-src 'я';форма-действие «я»;frame-ancestors 'none'

Короче говоря, нам нужно вводить наших CSP в одну строку, что снижает удобочитаемость, но необходимо для свопинга в Azure.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...