Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [inne]Blokowanie zasobu inline CSP
Forum PHP.pl > Forum > Przedszkole
viking
15.09.2015, 16:35:43
Mam problem z przepuszczeniem lokalnego skryptu z wykorzystaniem http://www.w3.org/TR/2014/WD-CSP11-20140211/#valid-nonces Wcześniej działało na 'unsafe-inline' ale chcę to uściślić.
Według dokumentacji i wszystkich przykładów powinno być w nagłówku 'nonce-ciąg' i w <script nonce="ciąg"> a FF zwraca mi Content Security Policy: Ustawienia strony zablokowały wczytanie zasobu ?self? (?script-src http://domena.server 'nonce-MWI2MjEyNWQzMmFmZGU1NGYxMmY3MzQ4YjNhNDg2YmQ=' .....
Nawet jak dam na sztywno 'nonce-abc' też nie działa. Ktoś wie dlaczego?

edit: Hmm, nie wiem czy to nie będzie błąd Firefoksa bo w operze 12 i chromium 44 nie mam żadnego błędu.

https://bugzilla.mozilla.org/show_bug.cgi?id=1026520

Błąd firefoksa. Skrypt faktycznie się wykonuje tylko w konsoli raportowane są błędy. Prace nad poprawką trwają.
Comandeer
15.09.2015, 16:38:36
Nie wiem czy to się już zmieniło, ale jeszcze jakieś 1.5 miesiąca temu Googlebot nie rozumiał CSP 2.0, przez co serwowanie mu takich nagłówków powodowało, że nie potrafił wczytać ani CSS, ani JS. Co ciekawego bot od PageSpeed takich problemów nie miał.

BTW hashe zamiast nonce z tego co pamiętam działały w lisku bez problemu.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.