Politique de sécurité du contenu: les paramètres de la page bloquent le chargement d'une ressource

j'utilise captcha sur le chargement de la page mais il bloque pour une raison de sécurité

je suis face à problème:

    Content Security Policy: The page's settings blocked the loading 
    of a resource at 
    http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit 
    ("script-src http://test.com:8080 'unsafe-inline' 'unsafe-eval'").

j'ai utilisé la balise js et meta suivante:

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">
<script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async defer></script>
26
demandé sur SilverlightFox 2016-05-18 14:43:38

3 réponses

Vous avez dit que vous ne pouvez charger des scripts que depuis votre propre site (self). Vous avez ensuite essayé de charger un script à partir d'un autre site (www.google.com et, parce que vous avez restreint ceci, vous ne pouvez pas. C'est tout le sens de la Politique de sécurité des contenus (CSP).

Vous pouvez changer votre première ligne à:

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://www.google.com">

ou, alternativement, il peut être utile de supprimer cette ligne complètement jusqu'à ce que vous en savoir plus sur CSP.

26
répondu Barry Pollard 2018-03-24 03:26:30

ayant un type d'erreur similaire. D'abord, j'ai essayé d'ajouter les balises meta dans le code mais ça n'a pas marché.

j'ai découvert que sur Nginx webserver vous pouvez avoir un paramètre de sécurité qui peut bloquer le code externe à exécuter:

#security directives
server_tokens off;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'  https://ajax.googleapis.com  https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://assets.zendesk.com; font-src 'self' https://fonts.gstatic.com  https://themes.googleusercontent.com; frame-src https://player.vimeo.com https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'";

Vérifier le contenu-Security-Policy, vous pouvez avoir besoin d'ajouter la référence source.

1
répondu aCustica 2018-03-25 12:54:34

Vous pouvez les désactiver dans votre navigateur. FireFox

Tapez about:config dans la barre D'adresse de FireFox et trouver security.csp.enable et réglez false

Chrome Vous pouvez installer l'extension appelée Disable Content-Security-Policy pour désactiver la CSP

0
répondu sendon1982 2018-06-18 05:05:59