Question

Борьба с пониманием CSP, получение

Refused to apply inline style because it violates the following Content Security Policy directive: "script-src 'self' https://example;"

Пример, мой домен https://example.com, в моей политике, у меня есть script-src 'self' https://example;, но встроенные скрипты от https://example/static/js/19.b56ecbe.chunk.js блокируется.

Я бы подумал, что 'self' позволит запустить скрипт, что я тут не так делаю?

Juraj Martinka · Answer 1 · 15 октября 2019

@ sideshowbarker уже объяснил, почему вы не можете этого сделать, но есть небольшой вариант, который вы можете использовать, если хотите разрешить «встроенные скрипты» на своих страницах.

Просто включите nonce во все ваши scriptтеги, а также в самом заголовке CSP. Смотрите здесь для более подробной информации: https://www.troyhunt.com/locking-down-your-website-scripts-with-csp-hashes-nonces-and-report-uri/

CSP и встроенные скрипты блокируются

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

CSP и встроенные скрипты блокируются

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы