Politique de sécurité du contenu: les paramètres de la page bloquent le chargement d'une ressource
j'utilise captcha sur le chargement de la page mais il bloque pour une raison de sécurité
je suis face à problème:
Content Security Policy: The page's settings blocked the loading of a resource at http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit ("script-src http://test.com:8080 'unsafe-inline' 'unsafe-eval'").
j'ai utilisé la balise js et meta suivante:
<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">
<script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async defer></script>
3 réponses
Vous avez dit que vous ne pouvez charger des scripts que depuis votre propre site (self). Vous avez ensuite essayé de charger un script à partir d'un autre site (www.google.com et, parce que vous avez restreint ceci, vous ne pouvez pas. C'est tout le sens de la Politique de sécurité des contenus (CSP).
Vous pouvez changer votre première ligne à:
<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://www.google.com">
ou, alternativement, il peut être utile de supprimer cette ligne complètement jusqu'à ce que vous en savoir plus sur CSP.
ayant un type d'erreur similaire. D'abord, j'ai essayé d'ajouter les balises meta dans le code mais ça n'a pas marché.
j'ai découvert que sur Nginx webserver vous pouvez avoir un paramètre de sécurité qui peut bloquer le code externe à exécuter:
#security directives
server_tokens off;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://ajax.googleapis.com https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://assets.zendesk.com; font-src 'self' https://fonts.gstatic.com https://themes.googleusercontent.com; frame-src https://player.vimeo.com https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'";
Vérifier le contenu-Security-Policy, vous pouvez avoir besoin d'ajouter la référence source.
Vous pouvez les désactiver dans votre navigateur. FireFox
Tapez about:config
dans la barre D'adresse de FireFox et trouver security.csp.enable
et réglez false
Chrome
Vous pouvez installer l'extension appelée Disable Content-Security-Policy
pour désactiver la CSP