it-roy-ru.com

Политика безопасности контента, включая скрипт

Мне нужно включить этот скрипт https://apis.google.com/js/api:client.js на моем веб-сайте. В Google Chrome работает нормально, но на Firefox (и IE очевидно) ) Я получаю некоторые ошибки:


Политика безопасности содержимого: игнорируется "unsafe-inline" в скрипте-src: "строго-динамический"

Политика безопасности содержимого: игнорируется "https:" в script-src: "строго-динамический"

Политика безопасности содержимого: игнорируется "http:" в script-src: "строго-динамический"


Я пытался изменить заголовок политики безопасности содержимого в метатеге, но это не сработало.

Я пытался со всем этим:

<meta http-equiv="Content-Security-Policy" content="default-src 'none'; img-src 'self'; script-src 'self' apis.google.com; style-src 'self';">

<meta http-equiv="Content-Security-Policy" content="default-src 'self' apis.google.com">

<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' https://*.google.com; object-src 'self' 'unsafe-eval'"> 

<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' apis.google.com;">
23
Mattia Billa

Я знаю, что этому вопросу уже год, но он все еще является одной из первых вещей, которая возникает при поиске этой проблемы, и пока не имеет правильного ответа.

Я понимаю. Я один из тех людей, которым нравится видеть нетронутую консоль в производстве, поэтому подобные вещи сводят меня с ума, но на самом деле мы ничего не можем с этим поделать. Firefox сообщает о предупреждениях на консоль, когда этого не следует делать.

Оба Mozilla и Google рекомендуют включать в себя запасные политики CSP1 наряду со строгой динамикой CSP3. Браузеры, которые понимают "строгий динамический", должны игнорировать политики CSP1, а браузеры, которые не должны игнорировать нераспознанные "строгие динамические", и следовать политикам CSP1. Рабочее слово игнорировать . Истинное игнорирование включает в себя не объявление о том, что вы игнорируете.

6
Peter Rowntree

Вы должны редактировать заголовки CSP не в HTML, а в заголовках HTTP сервера. У вас есть контроль над сервером?

Мета-теги и тому подобное будут игнорироваться, потому что заголовки HTTP имеют приоритет, исправьте их в первую очередь.

2
Rainb