Content-Security-Policy требует 127.0.0.1, так как vscode версии 1.40 (только удаленный?) - PullRequest
0 голосов
/ 08 ноября 2019
  • Версия VSCode: 1.40
  • Версия ОС: Любая
  • Только удаленная: ДА

При использовании заголовка Content-Security-Policy я отметилдо версии 1.40 vscode я включал в себя источник iframe, который я ожидал при локальном использовании express (). Например, "http://localhost:"

После обновления 1.40 я заметил, что в этом кадре было отказано с сообщением: Refused to frame 'http://127.0.0.1:<randomPort>/'

Конечно, у меня нет 127.0.0.1, определенного в CSPтак как единственный известный URL-адрес - это localhost

Итак, с версией 1.40 vscode CSP действительно требует дополнительной проверки на 127.0.0.1 с использованием CSP? Как мне тогда узнать порт?

До vscode 1.40

<meta http-equiv="Content-Security-Policy" content="default-src 'self' http://localhost:${internalPort} 'unsafe-inline' 'unsafe-eval';" />

Сейчас в vscode 1.40

<meta http-equiv="Content-Security-Policy" content="default-src 'self' http://localhost:${internalPort} http://127.0.0.1:* 'unsafe-inline' 'unsafe-eval';" />

PS: у этого также были побочные эффекты при использовании iframe.contentWindow.postMessage([...], origin)

...