Блок CSP Javascript

Я новичок в метабазе. Я загрузил исходный код метабазы ​​и разместил его на сервере Ubuntu 16.04 LTS. Когда я запускаю сервер метабазы ​​с помощью команды «lein ring server», я получаю «java.awt.HeadlessException». Я читал кое-где в проблемах github только то, что его можно игнорировать. Внешний интерфейс создается с помощью команды «yarn run build-hot». При доступе к внешнему интерфейсу из браузера я получаю следующие ошибки

Отказался загружать скрипт 'http://locahost:8080/app/dist/vendor.hot.bundle.js?222bfa78ab06d868cbf4', так как он нарушает следующую директиву Content Security Policy: "script-src 'unsafe-inline' 'unsafe-eval' 'self' https://maps.google.com https://apis.google.com https://www.google-analytics.com https://*.googleapis.com *.gstatic.com localhost:8080".

Отказался загружать скрипт 'http://locahost:8080/app/dist/app-main.hot.bundle.js?222bfa78ab06d868cbf4', потому что он нарушает следующую директиву Content Security Policy: "script-src 'unsafe-inline' 'unsafe-eval' 'self' https://maps.google.com https://apis.google.com https://www.google-analytics.com https://*.googleapis.com *.gstatic.com localhost:8080".


javascript analytics metabase
person SGSC    schedule 18.12.2018    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Это похоже на проблему с CSP. Вы можете решить эту проблему, используя

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

<meta http-equiv="Content-Security-Policy" content="default-src 'self'  https://www.google.com; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.google.com; style-src 'unsafe-inline' 'self' https://www.google.com; connect-src 'self' https://api.gole.in;img-src 'self' https://www.google.co.in/ads/ga-audiences; font-src 'self' data: https://fonts.gstatic.com;">

Как разрешить eval()?

Я уверен, что многие люди скажут, что нет, поскольку «eval — это зло» и наиболее вероятная причина надвигающегося конца света. Эти люди были бы неправы. Конечно, с помощью eval вы определенно можете пробить серьезные дыры в безопасности вашего сайта, но у него есть вполне обоснованные варианты использования. Вы просто должны быть умны в его использовании. Вы разрешаете это так:

content="script-src 'unsafe-eval'"

Ссылка: https://content-security-policy.com/

person Mohan M    schedule 18.12.2018
comment
Привет Мохан, Спасибо за ответ. Но ошибка все еще сохраняется, хотя я добавил вышеуказанные строки - person SGSC; 18.12.2018
comment
попробуйте этот ‹мета http-equiv=Content-Security-Policy content=default-src 'self' google.com; script-src 'self' 'unsafe-inline' 'unsafe-eval' maps.google.com https://apis.google.comhttps://www.google-analytics.com https: //*.googleapis.com *.gstatic.com localhost:8080; style-src 'unsafe-inline' 'self' google.com; connect-src 'self' api.gole.in;img-src 'self' google.co.in/ads/ga-audiences; данные font-src 'self': fonts.gstatic.com;› - person Mohan M; 18.12.2018