1. ホーム
  2. 質問と答え
  3. CDNの正しいCSPルールを実装する

CDNの正しいCSPルールを実装する

2017-03-28 2 views
0

私は現在、私の大学のモバイルWebアプリケーション開発コースについて紹介しており、ミスリルアプリケーションのブートストラップの設定には苦労しています。CDNの正しいCSPルールを実装する

私は以前、"通常の"ウェブアプリケーションにブートストラップを設定しましたが、私はMithril.jsアプリケーションでコンテンツセキュリティポリシーを正しく設定する方法を理解するのに苦労しています。

これは私の現在の課題の必須の部分ではありませんが、CSPの概念を自分の手で理解しようとしています。これは非常に重要なことです。(OWASPトップ10、yo!)。

CSPのこの特別なカリキュラムで私がどこに間違っているのか理解するのを助けるために、割り当てを完了するのを手伝ってくれる人はいません。

これは私のCSPが今どのように見えるかです:

<meta http-equiv="Content-Security-Policy" 
content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; 
     style-src 'self' 'unsafe-inline' http://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap.min.css; 
     media-src *; img-src 'self' data: content:; 
     script-src https://ajax.googleapis.com/ajax/libs/jquery/1.12.4/jquery.min.js 
     http://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js;">

CDNのURLが正常に動作し、現在私はセットアップをした複数の他のウェブサイトaccross実装されていますが、私はチェックしながら、これらのエラーを取得していますクロームのコンソール:それは、次のコンテンツセキュリティポリシーの指示に違反し ので

は、スクリプトをロードするために「http://localhost:8013/cordova.js」を拒否: "script-src https://ajax.googleapis.com/ajax/libs/jquery/1.12.4/jquery.min.js http://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"となります。

のindex.html: "スクリプト-SRC https://ajax.googleapis.com/ajax/libs/jquery/1.12.4/jquery.min.js http://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js":それは、次の コンテンツセキュリティポリシーの指示に違反しているため1スクリプト 'http://localhost:8013/bin/app.js' をロードすることを拒否しました。

jquery.min.js: 「デフォルト-srcの 『自己』データ:ギャップ:https://ssl.gstatic.com 『安全ではない-EVAL』」2は、以下のコンテンツセキュリティポリシーの指示に違反しているため 「http://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/fonts/glyphicons-halflings-regular.woff2」 をフォントをロードすることを拒否しました。 'font-src'は明示的に設定されていないので、 'default-src'は代替として が使用されています。

(匿名)jquery.min.js @:2 jquery.min.js: 「デフォルト-srcの '自己':それは、次のコンテンツセキュリティポリシーの指示に違反しているため2フォント 'http://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/fonts/glyphicons-halflings-regular.woff' をロードするために拒否データ:ギャップ:https://ssl.gstatic.com 'unsafe-eval' " 'font-src'は明示的に設定されていないので、 'default-src'は代替として が使用されています。

(匿名)jquery.min.js @:2 jquery.min.js: 「デフォルト-srcの '自己':それは、次のコンテンツセキュリティポリシーの指示に違反しているため2フォント 'http://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/fonts/glyphicons-halflings-regular.ttf' をロードするために拒否データ:ギャップ:https://ssl.gstatic.com 'unsafe-eval' " 'font-src'は明示的に設定されていないので、 'default-src'は代替として が使用されています。

(匿名)@ jquery.min。JSは:2 http://localhost:8013/favicon.icoリソースをロードするために を失敗しました:サーバーが404の状態で応答し

出典

2017-03-28 geostocker

答えて

1

が同様に私たちのチャットでこの質問に答えるが、ここでは他の人のために短い答えである(が見つかりませんでした )。それは

style-src 'self' bootstrap.css 'unsafe-inline';

そして、あなたは前にjQueryとbootstrap.jsにスクリプト-srcの中に「自己」を必要であるので、「安全ではない - インライン」の前にあるCSSファイルへのURLを入れてください。

出典

2017-03-29 05:11:11

関連する問題

 関連する問題