Google App Engine, вопросы политики безопасности контента - PullRequest
0 голосов
/ 26 июня 2018

Я довольно близок к тому, чтобы отказаться от перехода на движок приложения.

В настоящее время я не могу получить доступ к каким-либо статическим файлам с моего сервера из-за некоторых content-security-policy заголовков, устанавливаемых механизмом приложения, чего у меня нет при работе на локальном или вычислительном движке.

Я просто пытаюсь получить доступ к своим статическим папкам.

Error

The Content Security Policy directive 'default-src' contains 'frame-ancestors' as a source expression. Did you mean 'default-src ...; frame-ancestors...' (note the semicolon)?

Заголовки ответа :

alt-svc: quic=":443"; ma=2592000; v="43,42,41,39,35"
content-encoding: gzip
content-security-policy: default-src 'self' frame-ancestors 'self' https://console.cloud.google.com https://*.corp.google.com:* http://*.corp.google.com:*
content-type: text/html; charset=utf-8
date: Tue, 26 Jun 2018 09:53:17 GMT
server: nginx/1.10.3
status: 404
vary: Accept-Encoding
via: 1.1 google
x-content-type-options: nosniff
x-powered-by: Express

Я вижу, что есть проблема с CSP, но я не уверен, что мне нужно сделать, чтобы повлиять на это ...

Я использую гибкую среду с Express и Nodejs, и приложение размещается @ https://my-project-dot-blha.appspot.com

UPDATE : Хотя я вижу, что, скорее всего, это синтаксическая ошибка, я пытаюсь установить заголовок сам в экспрессе и не могу, если кто-нибудь знает, как повлиять на эти заголовки ядра приложения, которые будут тузом!

Заранее спасибо.

1 Ответ

0 голосов
/ 27 июня 2018

решаемые !

При использовании веб-предварительного просмотра движка приложений на сервере GAE установлены политики безопасности содержимого, которые, я полагаю, гарантируют, что вы не будете использовать эти домены предварительного просмотра. Они разрешают доступ пользователям, открывающим его из консоли.

Если вы хотите обойти это, вы можете использовать: https://chrome.google.com/webstore/detail/disable-content-security/ieelmcmcagommplceebfedjlakkhpden?hl=en

В противном случае, когда я развернул приложение в среде prod, такой проблемы не было!

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...