Колба Талисман CSP на разных браузерах - PullRequest
0 голосов
/ 22 октября 2019

Я реализовал Flask-Talisman в своем веб-приложении, и он отлично работает на Chrome Desktop, однако, когда я попытался запустить его в других браузерах, включая мобильные (также Chrome). Веб-страница не работает, так как она не отображает ни один из стилей должным образом по сравнению с доступом к веб-странице в Chrome.

Пожалуйста, укажите, что нужно проверять на наличие ошибок при реализации CSP для работы в разных браузерах.

Пока мои настройки выглядят так

csp = {
    'default-src': [
        '\'self\'',
        'https://cdnjs.cloudflare.com',
        'https://www.sandbox.paypal.com',
        'https://www.paypal.com',
          ],
    'style-src-elem':[
        'https://cdnjs.cloudflare.com',
        '\'self\'',
        'https://fonts.googleapis.com',
        'https://www.paypal.com',
        # '\'sha256-Y5HGV3cmFL1QmdV9FMkQjm7MR7FR+stNxbf9+GKET60=\'',
        # '\'sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=\'',
        # '\'sha256-oRjZhdNA+hM09jMYLHOUU2VtMxrmznym5tWJmiyI+Oo=\'',
        # '\'sha256-IVUmBkRCdvydC0Uh8tn6KMTNiZNvKrJOMResPyDMax8=\'',
        # '\'sha256-rdzt5ui2VGkyv3dNYnGUDmT5J+N5RyuwQE1Rbx/kcFM=\'',
        # '\'sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=\'',
        # '\'sha256-VGD+IbxndqEDX9Fprn6hgjVnu0w+oPzCwTmeA3oBpjA=\'',
        # '\'sha256-rdzt5ui2VGkyv3dNYnGUDmT5J+N5RyuwQE1Rbx/kcFM=\'',
        # '\'sha256-Dvb09BzlVCiFb9x2qxSFOjlmkNWAoDCgbXr2TYBuhjg=\'',
        # '\'sha256-XIoy2RCnNHggfKGaJuKGze9BdqmMb7LV/P5PVRQ6pRY=\'',
        '\'unsafe-inline\''
    ],
    'style-src':[
        'https://www.paypal.com',
        'nonce-xyz123',
        '\'unsafe-inline\''
    ],
    'img-src': ['*','data:'],
    'script-src': [
        '\'self\'',
        'https://www.paypal.com',
        'https://cdnjs.cloudflare.com',
         '\'unsafe-inline\''
    ],
    'font-src':[
        'https://fonts.gstatic.com'
    ],
    'connect-src':[
        '*'
    ]
}
talisman = Talisman(app, content_security_policy=csp ,content_security_policy_nonce_in=['script-src'])
...