Вопросы Теги

Отладка нарушения CSP в Google Chrome

Я пытаюсь использовать TinyMCE при использовании следующего Content -Security -Policy HTTP header:

X-WebKit-CSP: default-src 'self'; script-src 'self' 'unsafe-eval'; img-src *; media-src *; frame-src *; font-src *; style-src 'self' 'unsafe-inline'; report-uri /:reportcspviolation

Я получаю следующие ошибки в Tools -JavaScript Console:

Refused to execute JavaScript URL because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'".
 about:blank:1
Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'".
 test.xhtml:1
Refused to execute JavaScript URL because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'".
 about:blank:1
Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'".
 test.xhtml:1

Однако вtest.xhtmlнет исполняемого JS-кода. потому что он использует только внешний <script>для работы с данным заголовком CSP. Ссылка на about:blankтакже недействительна .

Любые идеи, как выяснить, где причина нарушения CSP?

Кажется, что внутренний отладчик JS Chrome не идентифицирует источник.

Кроме того, по какой-то причине Chrome отображает отчеты о нарушениях CSP как «Ожидающие» в «Инструментах» -«Инструменты разработчика» -«Сеть», но проверка данных -–-для отправки -не дает никакой дополнительной информации. Пример:

{"csp-report":{"document-uri":"about:blank","referrer":"url-of/test.xhtml","violated-directive":"script-src 'self' 'unsafe-eval'","original-policy":"default-src 'self'; script-src 'self' 'unsafe-eval'; img-src *; media-src *; frame-src *; font-src *; style-src 'self' 'unsafe-inline'; report-uri /:reportcspviolation"}}

Я могу понять, что сообщения об ошибках касаются использования, например. onclickатрибут в каком-то фрагменте HTML, который TinyMCE загружает на лету, но какой файл искать?Другая ошибка, вероятно, является частью HTML-кода TinyMCE, где некоторые hrefимеют значение, начинающееся с javascript:, но это тоже очень сложно найти без каких-либо указателей из Chrome. Вся настройка работает с Firefox 13 (с использованием соответствующего заголовка CSP ).

Есть ли способ заставить Chrome выдавать исключение для каждого нарушения CSP?

16
задан MyStream 15 January 2019 в 08:49
поделиться