1
私はShopify CMS用のプラグインを開発中です。コンテンツセキュリティポリシー。 webcomponent。 script src DataURI .HTML HEADERをMETAタグで上書きできますか?
Content Security Policy: The page’s settings blocked the loading of a resource at data:text/javascript;charset=utf-8,/**script code*/(“script-src https://domainurl https://* 'unsafe-inline' 'unsafe-eval'”)
オリジナルコンテンツセキュリティポリシーのヘッダ(私は変更することはできません:このプラグインを使用すると、私は次のエラーを取得するFirefoxで
script.src = "data:text/javascript;charset=utf-8," + encodeURIComponent(scriptContent);
webcomponentsjs/src/HTMLImports/parser.js line 307
を介してポリマーのスクリプトをロードするためにwebcomponents.jsこのヘッダーはサーバー上にあります。なぜなら、Shopifyはホストされたプラットフォームであり、私はそれを制御できないからです。
Content-Security-Policy:
default-src 'self' https://*;
child-src 'self' https://* blob: data:;
connect-src 'self' https://* wss://*;
font-src 'self' https://* blob: data:;
img-src 'self' https://* blob: data:;
media-src'self' https://* blob: data:;
object-src 'self' https://* blob: data:;
script-src 'self' https://* 'unsafe-inline' 'unsafe-eval';
style-src 'self' https://* 'unsafe-inline';
<meta http-equiv="Content-Security-Policy" content="
default-src * data: 'unsafe-inline' 'unsafe-eval';
script-src * data: 'unsafe-inline' 'unsafe-eval';
" />
それはmetaタグでヘッダ値をオーバーロードすることは可能ですか?
してみましたか? – AllTheTime
いいえ、複数のCSPが常により多くの制限に組み合わされます。 https://www.w3.org/TR/CSP2/#enforcing-multiple-policies – Ryan
はい。しかし、私は何か間違っていると思う。ヘッダー値をオーバーロードすることは可能ですか? 1つのページにhttpヘッダーとメタタグの動作に関する情報が見つかりません。 –