我正在使用oidc-client构建SPA,以登录使用Identity Server 4构建的IDP。
登录重定向似乎工作正常但在Firefox上我遇到了以下CSP问题
Content Security Policy: Ignoring "'unsafe-inline'" within script-src or style-src: nonce-source or hash-source specified (unknown)
Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src 'unsafe-inline' 'sha256-VDXN0nOpFPQ102CIVz+eimHA5e+wTeoUUQj5ZYbtn8w='"). Source: !function(t){function __webpack_require_.... checksession:1
Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src 'unsafe-inline' 'sha256-VDXN0nOpFPQ102CIVz+eimHA5e+wTeoUUQj5ZYbtn8w='"). Source: window.devToolsOptions = Object.assign(w.... checksession:1
Load denied by X-Frame-Options: http://localhost:5007/home/error?errorId=a74accc61bb821ee1f42f7013a306e90 does not permit cross-origin framing. (unknown)
我没有在我的SPA上设置任何CSP元标记,我想知道是否必须这样做。 挖掘一下,似乎oidc-client正在我的应用程序中添加一个iframe,它指向Identity Server中的checksession页面(其中包含CSP标题“default-src'none'; script-src'unsafe-inline'' SHA256-VDXN0nOpFPQ102CIVz + eimHA5e + wTeoUUQj5ZYbtn8w =“')
有人可以帮我解决这个问题或者让我走向正确的方向吗?我对CSP的了解非常基础。
答案 0 :(得分:1)
Redux devtools插件尝试在页面上注入代码。