OnClick이 콘텐츠 보안 정책을 위반

추한

HTML / EJS 페이지에 외부 스크립트가 첨부되어 있습니다. 스크립트는 'createElement'및 'setAttribute'명령을 사용하여 페이지에 이미지를 채 웁니다. 또한 생성 된 이미지 중 하나가 '클릭'될 때 기능을 실행하기 위해 'onclick'속성을 생성합니다. 외부 '.js'파일의 코드는 다음과 유사합니다.

addEventListener("load", initialize);

const vitals = document.querySelector('#passed');

const _convert = vitals.dataset.pix.split(",");  
  //convert the passed ('dataset') string into an array...

function initialize() {

...

  //**ADD THE PHOTO...

  _item = document.createElement("img"); 
  _item.setAttribute("id", "pix_" + _str);
  _item.setAttribute("src", "/gallery/photo/" + _convert[_count]);
  _item.setAttribute("onclick", "reRouter(this);");  
  _item.setAttribute("alt", "picture of " + _str);
  _item.setAttribute("width", '100%');
  document.getElementById("group_" + _tally).appendChild(_item);

...

}

function reRouter(_sent) {

//do stuff based upon the 'clicked' image...
//the Content Security Policy error is thrown ONLY upon a click of an image created in the 'initialize' function above...WHY?

}

'초기화'기능이 제대로 실행되는 것 같으며 원하는대로 표시된 폴더의 이미지로 페이지가 채워집니다. 그러나 이러한 이미지 중 하나에서 '마우스 클릭'을 수행하면 다음과 같은 콘텐츠 보안 정책 위반이 발생합니다.

"다음 콘텐츠 보안 정책 지시문을 위반하여 인라인 이벤트 핸들러 실행 거부 :"script-src-attr 'none' ". 'unsafe-inline'키워드, 해시 ( 'sha256 -...') 또는 인라인 실행을 사용하려면 nonce ( 'nonce -...')가 필요합니다. "

마우스를 클릭하면 왜 그런 오류가 발생합니까? '초기화'기능이 정상적으로 실행되고 오류가 발생하지 않는 것은 이상합니다. 이미지에서 마우스를 '클릭'할 때만 발생합니다. 어떤 조언이라도 대단히 감사합니다.

할보 르 삭샤 우그

외부 스크립트는 CSP에 나열한 소스에서 가져온 것일 수 있습니다. onclick 코드는 'unsafe-inline'을 지정하지 않는 한 차단되는 사실상 인라인 자바 스크립트입니다. Chrome이 해시를 제안하더라도 이벤트 핸들러에 대해 onclick으로 허용하지 않습니다. CSP 레벨 3 (아직 널리 지원되지 않음)에서는 'unsafe-hashes'로이 작업을 수행 할 수 있습니다 : https://content-security-policy.com/script-src/

해결책은 onclick 이벤트를 처리하기 위해 외부 스크립트에 이벤트 리스너를 추가하는 것입니다.

이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.

침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제

에서 수정
0

몇 마디 만하겠습니다

0리뷰
로그인참여 후 검토

관련 기사

분류에서Dev

다음 콘텐츠 보안 정책을 위반하여 'blob : ...'이미지로드를 거부했습니다.

분류에서Dev

''프레임이 다음 콘텐츠 보안 정책 지침을 위반하여 거부되었습니다.

분류에서Dev

다음 콘텐츠 보안 정책 지침 위반 : *** in Shopify

분류에서Dev

SignalR이 다음 콘텐츠 보안 정책 지침을 위반하여 [url]에 연결하는 것을 거부했습니다.

분류에서Dev

다음 콘텐츠 보안 정책 지침을 위반하여 이미지로드를 거부했습니다. "default-src 'none'"

분류에서Dev

Cordova Angular webView 오류 다음 콘텐츠 보안 정책 지침을 위반하여 인라인 스타일 적용이 거부되었습니다.

분류에서Dev

Nginx 콘텐츠 보안 정책이 승인되지 않음

분류에서Dev

내 웹 사이트의 콘텐츠 보안 정책 경고

분류에서Dev

콘텐츠 보안 정책 : 소스 데이터

분류에서Dev

콘텐츠 보안 정책을 위반하여로드가 거부되었습니다.

분류에서Dev

콘텐츠 보안 정책에서보다 구체적인 값이 일반 값을 완전히 대체합니까?

분류에서Dev

콘텐츠 보안 정책 지침

분류에서Dev

XSS 및 콘텐츠 보안 정책

분류에서Dev

콘텐츠 보안 정책 경고

분류에서Dev

Safari 콘텐츠 보안 정책 지원

분류에서Dev

XSS 공격을 방지하기위한 Antisamy 또는 콘텐츠 보안 정책 또는 둘 다

분류에서Dev

HTML 5 콘텐츠 보안 정책 둘 이상의 페이지 (Ionic / AngularJS / Cordova)

분류에서Dev

콘텐츠 보안 정책 : Google Chrome, Firefox 및 Microsoft Edge의 차이점

분류에서Dev

노드 / 앵귤러 애플리케이션의 콘텐츠 보안 위반

분류에서Dev

다음 콘텐츠 보안 정책 지침 (connect-src)을 위반하여 x에 대한 연결을 거부했습니다.

분류에서Dev

다음 콘텐츠 보안 정책을 위반하여 인라인 스타일 적용을 거부했습니다. 'style-src'self 'https://apis.google.com.

분류에서Dev

다음 콘텐츠 보안 정책 지침을 위반하여 스크립트로드를 거부했습니다. ChromeDriver Chrome 및 Selenium의 script-src 오류

분류에서Dev

다음 콘텐츠 보안 정책 지시문 "script-src 'self'"를 위반하여 인라인 스크립트 실행을 거부했습니다.?

분류에서Dev

안전하지 않은 인라인이없는 콘텐츠 보안 정책 및 Google Analytics?

분류에서Dev

콘텐츠 보안 정책 : 페이지 설정이로드를 차단했습니다.

분류에서Dev

콘텐츠 보안 정책 오류 노드 앱을 수정하는 방법

분류에서Dev

smartsupp 채팅을 위해 yii2에서 콘텐츠 보안 정책 (CSP)을 추가하는 방법은 무엇입니까?

분류에서Dev

콘텐츠 보안 정책 "인라인 이벤트 처리기 실행 거부"오류

분류에서Dev

React 앱의 콘텐츠 보안 정책이 온라인 스크립트를 차단하지 않았습니다.

Related 관련 기사

  1. 1

    다음 콘텐츠 보안 정책을 위반하여 'blob : ...'이미지로드를 거부했습니다.

  2. 2

    ''프레임이 다음 콘텐츠 보안 정책 지침을 위반하여 거부되었습니다.

  3. 3

    다음 콘텐츠 보안 정책 지침 위반 : *** in Shopify

  4. 4

    SignalR이 다음 콘텐츠 보안 정책 지침을 위반하여 [url]에 연결하는 것을 거부했습니다.

  5. 5

    다음 콘텐츠 보안 정책 지침을 위반하여 이미지로드를 거부했습니다. "default-src 'none'"

  6. 6

    Cordova Angular webView 오류 다음 콘텐츠 보안 정책 지침을 위반하여 인라인 스타일 적용이 거부되었습니다.

  7. 7

    Nginx 콘텐츠 보안 정책이 승인되지 않음

  8. 8

    내 웹 사이트의 콘텐츠 보안 정책 경고

  9. 9

    콘텐츠 보안 정책 : 소스 데이터

  10. 10

    콘텐츠 보안 정책을 위반하여로드가 거부되었습니다.

  11. 11

    콘텐츠 보안 정책에서보다 구체적인 값이 일반 값을 완전히 대체합니까?

  12. 12

    콘텐츠 보안 정책 지침

  13. 13

    XSS 및 콘텐츠 보안 정책

  14. 14

    콘텐츠 보안 정책 경고

  15. 15

    Safari 콘텐츠 보안 정책 지원

  16. 16

    XSS 공격을 방지하기위한 Antisamy 또는 콘텐츠 보안 정책 또는 둘 다

  17. 17

    HTML 5 콘텐츠 보안 정책 둘 이상의 페이지 (Ionic / AngularJS / Cordova)

  18. 18

    콘텐츠 보안 정책 : Google Chrome, Firefox 및 Microsoft Edge의 차이점

  19. 19

    노드 / 앵귤러 애플리케이션의 콘텐츠 보안 위반

  20. 20

    다음 콘텐츠 보안 정책 지침 (connect-src)을 위반하여 x에 대한 연결을 거부했습니다.

  21. 21

    다음 콘텐츠 보안 정책을 위반하여 인라인 스타일 적용을 거부했습니다. 'style-src'self 'https://apis.google.com.

  22. 22

    다음 콘텐츠 보안 정책 지침을 위반하여 스크립트로드를 거부했습니다. ChromeDriver Chrome 및 Selenium의 script-src 오류

  23. 23

    다음 콘텐츠 보안 정책 지시문 "script-src 'self'"를 위반하여 인라인 스크립트 실행을 거부했습니다.?

  24. 24

    안전하지 않은 인라인이없는 콘텐츠 보안 정책 및 Google Analytics?

  25. 25

    콘텐츠 보안 정책 : 페이지 설정이로드를 차단했습니다.

  26. 26

    콘텐츠 보안 정책 오류 노드 앱을 수정하는 방법

  27. 27

    smartsupp 채팅을 위해 yii2에서 콘텐츠 보안 정책 (CSP)을 추가하는 방법은 무엇입니까?

  28. 28

    콘텐츠 보안 정책 "인라인 이벤트 처리기 실행 거부"오류

  29. 29

    React 앱의 콘텐츠 보안 정책이 온라인 스크립트를 차단하지 않았습니다.

뜨겁다태그

보관