Приложение heroku на firefox не загружает JavaScript из-за политики безопасности контента

Question

У меня новое приложение, развернутое на heroku. На chrome он работает, как и ожидалось, но в firefox я получаю следующую ошибку (и даже больше похожую) в консоли:

Content Security Policy: The page’s settings blocked the loading of a resource at inline (“script-src”).

Это не просто раздражение - так как он блокирует загрузку javascripts, сайт в основном не используется на FF, что явно проблематично c. Я не могу изменить заголовки на heroku, как подсказывает мое исследование.

Что делать?

Answer 1

Вы можете настроить свою политику безопасности контента на самом уровне приложения Rails, чтобы не требовалось вносить изменения в конфигурацию Heroku следующим образом:

# config/initializers/content_security_policy.rb

Rails.application.config.content_security_policy do |policy|
  policy.default_src :self, :https
  policy.font_src    :self, :https, :data
  policy.img_src     :self, :https, :data
  policy.object_src  :none
  policy.script_src  :self, :https
  policy.style_src   :self, :https, :unsafe_inline
  policy.report_uri  "/csp-violation-report-endpoint"
end

Вы можете изменить это при необходимости. и более подробную информацию можно найти здесь