Я пытаюсь использовать TinyMCE при использовании следующего Content -Security -Policy HTTP header:
X-WebKit-CSP: default-src 'self'; script-src 'self' 'unsafe-eval'; img-src *; media-src *; frame-src *; font-src *; style-src 'self' 'unsafe-inline'; report-uri /:reportcspviolation
Я получаю следующие ошибки в Tools -JavaScript Console:
Refused to execute JavaScript URL because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'".
about:blank:1
Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'".
test.xhtml:1
Refused to execute JavaScript URL because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'".
about:blank:1
Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'".
test.xhtml:1
Однако вtest.xhtml
нет исполняемого JS-кода. потому что он использует только внешний <script>
для работы с данным заголовком CSP. Ссылка на about:blank
также недействительна .
Любые идеи, как выяснить, где причина нарушения CSP?
Кажется, что внутренний отладчик JS Chrome не идентифицирует источник.
Кроме того, по какой-то причине Chrome отображает отчеты о нарушениях CSP как «Ожидающие» в «Инструментах» -«Инструменты разработчика» -«Сеть», но проверка данных -–-для отправки -не дает никакой дополнительной информации. Пример:
{"csp-report":{"document-uri":"about:blank","referrer":"url-of/test.xhtml","violated-directive":"script-src 'self' 'unsafe-eval'","original-policy":"default-src 'self'; script-src 'self' 'unsafe-eval'; img-src *; media-src *; frame-src *; font-src *; style-src 'self' 'unsafe-inline'; report-uri /:reportcspviolation"}}
Я могу понять, что сообщения об ошибках касаются использования, например. onclick
атрибут в каком-то фрагменте HTML, который TinyMCE загружает на лету, но какой файл искать?Другая ошибка, вероятно, является частью HTML-кода TinyMCE, где некоторые href
имеют значение, начинающееся с javascript:
, но это тоже очень сложно найти без каких-либо указателей из Chrome. Вся настройка работает с Firefox 13 (с использованием соответствующего заголовка CSP ).
Есть ли способ заставить Chrome выдавать исключение для каждого нарушения CSP?