web-dev-qa-db-fra.com

Politique de sécurité du contenu, y compris un script

J'ai besoin d'inclure ce script https://apis.google.com/js/api:client.js sur mon site Web. Sur Google Chrome cela fonctionne bien, mais sur Firefox (et IE évidemment ) Je reçois des erreurs:

Politique de sécurité du contenu: Ignorer "‘ unsafe-inline "" dans script-src: "strict-dynamique" spécifié

Politique de sécurité du contenu: Ignorer "https:" dans script-src: "strict-dynamic" spécifié

Politique de sécurité du contenu: Ignorer "http:" dans script-src: "strict-dynamic" spécifié

J'ai essayé de changer l'en-tête de la politique de sécurité du contenu dans une balise META, mais cela n'a pas fonctionné.

J'ai essayé avec tout ça:

<meta http-equiv="Content-Security-Policy" content="default-src 'none'; img-src 'self'; script-src 'self' apis.google.com; style-src 'self';">

<meta http-equiv="Content-Security-Policy" content="default-src 'self' apis.google.com">

<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' https://*.google.com; object-src 'self' 'unsafe-eval'"> 

<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' apis.google.com;">
javascripthtmlcontent-security-policy
23
Mattia Billa

Je sais que cette question remonte à un an, mais c’est toujours l’une des premières choses à se poser lorsque l’on cherche ce problème et elle n’a pas encore obtenu la bonne réponse.

Je comprends. Je suis de ceux qui aiment voir une console vierge en production, alors ce genre de choses me rend dingue, mais nous ne pouvons rien y faire. Firefox signale les avertissements à la console alors que ce n'est pas le cas.

Les deux Mozilla et Google recommandent d'inclure des stratégies de secours CSP1 ainsi que la "dynamique stricte" de CSP3. Les navigateurs qui comprennent "strict-dynamique" doivent ignorer les stratégies CSP1, et les navigateurs qui ne le font pas doivent ignorer les "dynamiques strictes" non reconnues et se conformer aux stratégies CSP1. Le mot opératoire est ignorer . Vraiment ignorer signifie ne pas annoncer que vous ignorez.

6
Peter Rowntree

Vous devez modifier les en-têtes CSP non pas sur le code HTML, mais sur les en-têtes HTTP du serveur, avez-vous le contrôle du serveur?

Les balises méta et autres seront ignorées car les en-têtes HTTP sont prioritaires, corrigez-les en premier.

2
Rainb