升级ember-cli 0.0.47后违反内容安全策略指令

Peter Brown 发表于 Dev

彼得·布朗

我将ember-cli应用程序升级到0.0.47，现在在浏览器控制台中遇到了一系列与内容安全策略有关的错误。如何解决此问题？

Refused to load the script 'http://use.typekit.net/abcdef.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval' localhost:35729".
 login:1
Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval' localhost:35729". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable inline execution.
 login:20
Refused to load the script 'http://connect.facebook.net/en_US/all.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval' localhost:35729".
 login:1
Refused to load the script 'http://maps.googleapis.com/maps/api/js?libraries=places' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval' localhost:35729".

这是我的app / index.html文件中的行：

<script type="text/javascript" src="//use.typekit.net/abcdef.js"></script>
<script type="text/javascript">try{Typekit.load();}catch(e){}</script>
<script src="http://connect.facebook.net/en_US/all.js"></script>
<script type="text/javascript" src="http://maps.googleapis.com/maps/api/js?libraries=places"></script>

彼得·布朗

在http://content-security-policy.com/和https://github.com/rwjblue/ember-cli-content-security-policy阅读了一些文档之后，我在config / environment.js文件中添加了一些策略。像这样：

module.exports = function(environment) {
  var ENV = {
    contentSecurityPolicy: {
      'default-src': "'none'",
      'script-src': "'self' 'unsafe-inline' 'unsafe-eval' use.typekit.net connect.facebook.net maps.googleapis.com maps.gstatic.com",
      'font-src': "'self' data: use.typekit.net",
      'connect-src': "'self'",
      'img-src': "'self' www.facebook.com p.typekit.net",
      'style-src': "'self' 'unsafe-inline' use.typekit.net",
      'frame-src': "s-static.ak.facebook.com static.ak.facebook.com www.facebook.com"
    },

  // ...
};

这使所有立即出现的错误都消失了，但是当我开始浏览我的应用程序时，就出现了与S3媒体源相关的新错误。

我确定这适用于不包含任何外部资源的应用程序，但是我决定从我的package.json文件中删除““ ember-cli-content-security-policy”。

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。