#node.js #express #content-security-policy
#node.js #выразить #content-security-policy
Вопрос:
Я пытаюсь реализовать политику lusca csp. Мое приложение работает на express v4 и node.js … Моя политика в отношении ласки такова:
app.use(lusca({
csp: {
policy:{
'default-src':''self'',
'script-src':"'self' maps.googleapis.com maps.gstatic.com",
'img-src':''self'',
'frame-ancestors':''self'',
'style-src': "'self'"
}
},
xframe: 'SAMEORIGIN'
}));
Проблема в том, что при загрузке страницы я получаю следующую ошибку
jquery.js: 5741 Отказался применить встроенный стиль, поскольку он нарушает следующую директиву политики безопасности контента: «style-src ‘self'». Для включения встроенного выполнения требуется либо ключевое слово ‘unsafe-inline’, либо хэш (‘sha256-1PxuDsPyGK6n LZsMv0gG4lMX3i3XigG6h0CzPIjwrE=’), либо одноразовый номер (‘одноразовый номер-…’).
Я попытался добавить sha в ‘script-src’, но, похоже, это не решает проблему. Я упускаю какую-то конкретную проблему?
Комментарии:
1. Почему вы меняетесь
script-src, когда в ошибке четко указано, что проблема связана сstyle-src?2. Привет, Ананд, как упоминалось в вопросе, я внес изменения в script-src. Я все еще получаю ту же ошибку. Мое значение script-src равно «style-src»: «‘self’ sha256-1PxuDsPyGK6n LZsMv0gG4lMX3i3XigG6h0CzPIjwrE =»
3. Удалось заставить его работать. добавлены одинарные кавычки вокруг sha-256. Теперь это «style-src»: «‘self’ ‘sha256-1PxuDsPyGK6n LZsMv0gG4lMX3i3XigG6h0CzPIjwrE ='»