У меня есть CSP со следующей строкой:
script-src 'nonce-{random}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http: https://static.cloudflareinsights.com https://mydomain.app/cdn-cgi/scripts/6c4dd986/cloudflare-static/email-decode.min.js;
, и я вижу, что CSP верен в заголовке ответа для страницы.
Я все еще получаю ошибка [Report Only] Refused to load the script https://mydomain.app/cdn-cgi/scripts/6c4dd986/cloudflare-static/email-decode.min.js.
Cloudflare автоматически вводит этот тег скрипта, поэтому я не могу полагаться на свойство strict-dynamic, чтобы покрыть его за меня, и не могу добавить одноразовый номер.
Это не из-за того, что scrict-dynamic переопределяет фиксированный URL-адрес в CSP? Нам нужен strict-Dynami c в приложении, но нам также необходимо разрешить настраиваемый URL-адрес белого списка для этих ситуаций.
Есть идеи?
Изменить: в частности, я думаю, что проблема здесь в облаке. Как можно разрешить Cloudflare внедрять скрипты, в то же время имея установленный параметр strict-Dynami c? Вы не можете присвоить cloudflare значение nonce, а strict-Dynami c не позволит вам попасть в белый список, так как же это можно преодолеть?