Нарушения политики безопасности контента - PullRequest
0 голосов
/ 11 апреля 2019

Я использую аналитический инструмент LuckyOrange в своем веб-приложении, чтобы отслеживать участие пользователей в моем веб-сайте. Ранее он работал только в localhost, но не в производственной сборке. Но после очень долгого исследования я обнаружил, что на моем веб-сайте есть проблема с Content Security Policy, поэтому я исправил ее, используя необходимые дополнения политики, приведенные в следующей ссылке

Необходимые дополнения политики для LuckyOrange

Я заставил его работать, добавив эти политики. Но теперь я получаю много предупреждений в моей консоли, таких как

* 1. Отказ от выполнения встроенного сценария, поскольку он нарушает следующую директиву политики безопасности содержимого: "script-src 'self' https://d10******8c69.cloudfront.net blob: www.google-analytics.com https://www.youtube.com/iframe_api https://d10lp*****8c69.cloudfront.net/w.js https://s.ytimg.com https://client.relay.crisp.chat/". Либо ключевое слово unsafe-inline, хеш ('sha256-C7pACm3M ******** t0FAuuvIc1PLz0ok3K02RrHnNvQ ='), либо одноразовый номер ('nonce -... ') требуется для включения встроенного выполнения. *

* 2. platform.dom.js: 308 Отказался от применения встроенного стиля, поскольку он нарушает следующую директиву политики безопасности содержимого: "default-src 'self'". Либо ключевое слово unsafe-inline, хеш (sha256-47DEQpj8HBSa + / TI ******** QeRkm5NMpJWZG3hSuFU = '), либо одноразовый номер («nonce -...») требуется для включения встроенного выполнения. Также обратите внимание, что 'style-src' не был задан явно, поэтому 'default-src' используется как запасной вариант. *

* 3. Отказался от загрузки таблицы стилей 'https://d10lps****8c69.cloudfront.net/css/reset.css', поскольку он нарушает следующую директиву политики безопасности содержимого: "default-src' self '". Обратите внимание, что «style-src-elem» не был задан явно, поэтому «default-src» используется как запасной вариант. *

Так что я получаю много предупреждений, таких как это. Как я могу решить эту проблему?

Так я разместил мою Политику безопасности контента на своем веб-сайте

 headers {

    contentSecurityPolicy = "default-src 'self'; connect-src 'self' https://settings.luckyorange.net wss://*.visitors.live https://pubsub.googleapis.com wss:; img-src 'self' data: www.google-analytics.com; script-src 'self' https://d10lpsik1i8c69.cloudfront.net blob: www.google-analytics.com https://www.youtube.com/iframe_api https://d10lpsik1i8c69.cloudfront.net/w.js https://s.ytimg.com https://client.relay.crisp.chat/; frame-src https://www.youtube.com/ ;" #FIX ME: Add correct content security policy dependign on your application. Defaul: "default-src 'self'"
  }

В чем здесь проблема?

...