it-roy-ru.com

Cordova - отказаться от выполнения встроенного обработчика событий, поскольку он нарушает следующую политику безопасности содержимого

Я готовлюсь к разработке приложений Cordova и решаю проблему с политикой безопасности контента.

Мое приложение работает с эмулятором Android), но когда мне нужно выполнить JavaScript, я получаю сообщение в NetBeans (окно вывода).

Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self' https://ssl.gstatic.com". (22:35:56:126 | error, security)
  at www/index.html:58

Мой код ниже. Это мой index.html. Я пытаюсь понять, как работает CSP, и я думаю, что понимаю концепцию, но в этом случае я не понимаю проблему. Строка 58 является комментарием.

<html>        
    <head>   

        <meta http-equiv="Content-Security-Policy" content="default-src 'self' * data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self'; script-src 'self' https://ssl.gstatic.com; media-src *">
        <meta name="format-detection" content="telephone=no">
        <meta name="msapplication-tap-highlight" content="no">
        <meta name="viewport" content="user-scalable=no, initial-scale=1, maximum-scale=1, minimum-scale=1, width=device-width">

        <title>Hello World</title>

        <link rel="stylesheet" type="text/css" href="css/index.css">

    </head>

    <body>
        <div class="app">
            <h1>Apache Cordova</h1>
            <div id="deviceready" class="blink">
                <p class="event listening">Connecting to Device</p>
                <p class="event received">Device is Ready</p>
            </div>
        </div>

        <!--
        line 58
        -->
        <button onclick="capturePhoto();">Capture Photo</button> <br>

        <img style="display:none;width:80px;height:80px;" id="smallImage" src="" />
        <img style="display:none;" id="largeImage" src="" />

        <script type="text/javascript" src="cordova.js"></script>
        <script type="text/javascript" src="js/index.js"></script>
    </body>        
  </html>

Заранее спасибо за вашу помощь, потому что она мне нужна. Жером

34
grome55

Проверьте это ссылка , там написано:

Встроенный JavaScript не будет выполнен. Это ограничение запрещает как встроенные блоки _<script>_, так и встроенные обработчики событий _(e.g. button onclick="...")_.

Чтобы избежать проблем межсайтового скриптинга, как указано ниже

_one.app#/home:1 Refused to execute inline event handler because it violates the following Content
Security Policy directive: "script-src 'self' 'nonce-d452460d-e219-a6e5-5709-c8af6ca82889'
chrome-extension: 'unsafe-inline' 'unsafe-eval' https://sfdc.azureedge.net 
*.na34.visual.force.com https://ssl.gstatic.com/accessibility/". Note that 'unsafe-inline'
is ignored if either a hash or nonce value is present in the source list.
_

Перейти на _event listener functions_ вместо onclick='myFun()".

_<body onload="main();">
    <button onclick="clickHandler(this)">
        Click for awesomeness!
    </button>
</body>
<script>
    function clickHandler(element) {
        // On click Code
    }

    function main() {
        // Initialization work goes here.
    }
</script>
_

Чтобы работать с новым браузером, вам нужно написать свой код с четким разделением между содержанием и поведением.

_<body>
  <button>Click for awesomeness!</button>
</body>
<script src="popup.js"></script>

<!-- popup.js -->
    document.addEventListener('DOMContentLoaded', function () {
      document.querySelector('button').addEventListener('click', clickHandler);
      main();
    });

    function clickHandler(element) {
        // On click Code
    }

    function main() {
        // Initialization work goes here.
    }
<!-- popup.js -->
_
52
Martin Cisneros Capistrán