1. ev
  2. Soru-cevap
  3. Ember-cli sonra içerik güvenlik ilkesi yönergesi ihlali 0.0.47 Yükseltme

Ember-cli sonra içerik güvenlik ilkesi yönergesi ihlali 0.0.47 Yükseltme

2014-10-04 18 views
59

Ember-cli uygulamasımı 0.0.47'ye yükselttim ve şimdi tarayıcı konsolumda içerik güvenliği ilkesiyle ilgili bir sürü hata alıyorum. Bu sorunu nasıl gideririm? İşte Ember-cli sonra içerik güvenlik ilkesi yönergesi ihlali 0.0.47 Yükseltme

Refused to load the script 'http://use.typekit.net/abcdef.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval' localhost:35729". 
login:1 
Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval' localhost:35729". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable inline execution. 
login:20 
Refused to load the script 'http://connect.facebook.net/en_US/all.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval' localhost:35729". 
login:1 
Refused to load the script 'http://maps.googleapis.com/maps/api/js?libraries=places' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval' localhost:35729".

benim app/index.html dosyasındaki satırları şunlardır: http://content-security-policy.com/ ve https://github.com/rwjblue/ember-cli-content-security-policy bazı dokümanlar okuduktan sonra 

<script type="text/javascript" src="//use.typekit.net/abcdef.js"></script> 
<script type="text/javascript">try{Typekit.load();}catch(e){}</script> 
<script src="http://connect.facebook.net/en_US/all.js"></script> 
<script type="text/javascript" src="http://maps.googleapis.com/maps/api/js?libraries=places"></script>

kaynak

2014-10-04 Peter Brown

cevap

126

, benim yapılandırma için bazı politikaları eklendi/environment.js şöyle dosyası : 

module.exports = function(environment) { 
    var ENV = { 
    contentSecurityPolicy: { 
     'default-src': "'none'", 
     'script-src': "'self' 'unsafe-inline' 'unsafe-eval' use.typekit.net connect.facebook.net maps.googleapis.com maps.gstatic.com", 
     'font-src': "'self' data: use.typekit.net", 
     'connect-src': "'self'", 
     'img-src': "'self' www.facebook.com p.typekit.net", 
     'style-src': "'self' 'unsafe-inline' use.typekit.net", 
     'frame-src': "s-static.ak.facebook.com static.ak.facebook.com www.facebook.com" 
    }, 

    // ... 
};

Bu

tüm acil hatalarının ortadan kalkıp yaptı, ama en kısa sürede benim uygulamada gezinmeye başlayınca, yenileri S3 medya kaynaklarına ilişkin yazı.

Bu herhangi bir dış kaynak içermez uygulamalar için çalıştığından emin değilim, ama benim package.json dosyasından "" kor-cli-içerik-güvenlik-policy" kaldırma kararı aldık.

kaynak

2014-10-04 11:34:25

+0

bir şekilde S3 beyaz listeye gerek kullanılan config/environment.js dosyasında ancak API, bana hala oldukça opaktır –

+0

s3.amazonaws.com ile s3'ü beyaz listeye dahil ediyoruz, ancak ... Firefox'ta garip sorunlar yaşıyoruz. Chrome iyi çalışıyor gibi görünüyor. – ToddSmithSalter

+2

Tüm joker karakterlere * * 'izin verebilirsiniz. Tüm liste: http://content-security-policy.com/#source_list –

18

google yazı bağlarken bu kullanmak zorunda:

<link rel='stylesheet' href='http://fonts.googleapis.com/css?family=Lato:400,700,900'>

Ben

contentSecurityPolicy: { 
    'font-src': "'self' data: fonts.gstatic.com", 
    'style-src': "'self' 'unsafe-inline' fonts.googleapis.com" 
},

kaynak

2015-03-13 00:39:03 superlogical

İlgili konular

 İlgili konular