Блок Javascript CSP - PullRequest
Новая
       7

Блок Javascript CSP

0 голосов
/ 18 декабря 2018

Я новичок в метабазе.Я скачал исходный код метабазы ​​и разместил его на сервере Ubuntu 16.04 LTS. Когда я запускаю сервер Metabase командой «lein ring server», я получаю «java.awt.HeadlessException».Я читал некоторые, где в GitHub проблемы только, что это можно игнорировать.Передний конец строится с помощью команды «Yarn Run build-hot».При доступе к интерфейсу через браузер я получаю следующие ошибки

Отказался от загрузки скрипта 'http://locahost:8080/app/dist/vendor.hot.bundle.js?222bfa78ab06d868cbf4', поскольку он нарушает следующую директиву политики безопасности содержимого: "script-src'unsafe-inline '' unsafe-eval '' self 'https://maps.google.com https://apis.google.com https://www.google -analytics.com https://*.googleapis.com * .gstatic.com localhost: 8080 ".

Отказался от загрузки сценария 'http://locahost:8080/app/dist/app-main.hot.bundle.js?222bfa78ab06d868cbf4', поскольку он нарушает следующую директиву политики безопасности содержимого: "script-src' unsafe-inline '' unsafe-eval '' self 'https://maps.google.com https://apis.google.com https://www.google -analytics.com https://*.googleapis.com * .gstatic.com localhost: 8080 ".

1 Ответ

0 голосов
/ 18 декабря 2018

Это похоже на проблему CSP.Вы можете решить эту проблему, используя 

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

<meta http-equiv="Content-Security-Policy" content="default-src 'self'  https://www.google.com; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.google.com; style-src 'unsafe-inline' 'self' https://www.google.com; connect-src 'self' https://api.gole.in;img-src 'self' https://www.google.co.in/ads/ga-audiences; font-src 'self' data: https://fonts.gstatic.com;">

Как разрешить eval ()?

Я уверен, что многие люди скажут, что вы этого не делаете, так как 'Эвал - это зло », и это наиболее вероятная причина приближающегося конца света.Эти люди будут неправы.Конечно, вы можете определенно пробить основные дыры в безопасности вашего сайта с помощью eval, но он имеет вполне допустимые варианты использования.Вы просто должны быть умны в использовании.Вы допускаете это так:

content="script-src 'unsafe-eval'"

Ссылка: https://content -security-policy.com /

...