 [inne]Blokowanie zasobu inline CSP |
  |
| [inne]Blokowanie zasobu inline CSP |
 15.09.2015, 16:35:43
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 6 376 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%) 
 |
Mam problem z przepuszczeniem lokalnego skryptu z wykorzystaniem http://www.w3.org/TR/2014/WD-CSP11-20140211/#valid-nonces Wcześniej działało na 'unsafe-inline' ale chcę to uściślić.
Według dokumentacji i wszystkich przykładów powinno być w nagłówku 'nonce-ciąg' i w <script nonce="ciąg"> a FF zwraca mi Content Security Policy: Ustawienia strony zablokowały wczytanie zasobu ?self? (?script-src http://domena.server 'nonce-MWI2MjEyNWQzMmFmZGU1NGYxMmY3MzQ4YjNhNDg2YmQ=' ..... Nawet jak dam na sztywno 'nonce-abc' też nie działa. Ktoś wie dlaczego? edit: Hmm, nie wiem czy to nie będzie błąd Firefoksa bo w operze 12 i chromium 44 nie mam żadnego błędu. https://bugzilla.mozilla.org/show_bug.cgi?id=1026520 Błąd firefoksa. Skrypt faktycznie się wykonuje tylko w konsoli raportowane są błędy. Prace nad poprawką trwają. Ten post edytował viking 10.09.2015, 17:12:45 -------------------- |
 |
 
|
|
15.09.2015, 16:38:36
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 1 268 Pomógł: 254 Dołączył: 11.06.2009 Skąd: Świętochłowice Ostrzeżenie: (0%)
|
Nie wiem czy to się już zmieniło, ale jeszcze jakieś 1.5 miesiąca temu Googlebot nie rozumiał CSP 2.0, przez co serwowanie mu takich nagłówków powodowało, że nie potrafił wczytać ani CSS, ani JS. Co ciekawego bot od PageSpeed takich problemów nie miał.
BTW hashe zamiast nonce z tego co pamiętam działały w lisku bez problemu. -------------------- ★Mój blog || Okiem krytyka★
|
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 1.05.2025 - 06:06 |
