Question

我正在使用oidc-client构建SPA，以登录使用Identity Server 4构建的IDP。

登录重定向似乎工作正常但在Firefox上我遇到了以下CSP问题

Content Security Policy: Ignoring "'unsafe-inline'" within script-src or style-src: nonce-source or hash-source specified  (unknown)
Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src 'unsafe-inline' 'sha256-VDXN0nOpFPQ102CIVz+eimHA5e+wTeoUUQj5ZYbtn8w='"). Source: !function(t){function __webpack_require_....  checksession:1
Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src 'unsafe-inline' 'sha256-VDXN0nOpFPQ102CIVz+eimHA5e+wTeoUUQj5ZYbtn8w='"). Source: window.devToolsOptions = Object.assign(w....  checksession:1
Load denied by X-Frame-Options: http://localhost:5007/home/error?errorId=a74accc61bb821ee1f42f7013a306e90 does not permit cross-origin framing.  (unknown)

我没有在我的SPA上设置任何CSP元标记，我想知道是否必须这样做。挖掘一下，似乎oidc-client正在我的应用程序中添加一个iframe，它指向Identity Server中的checksession页面（其中包含CSP标题“default-src'none'; script-src'unsafe-inline'' SHA256-VDXN0nOpFPQ102CIVz + eimHA5e + wTeoUUQj5ZYbtn8w =“'）

有人可以帮我解决这个问题或者让我走向正确的方向吗？我对CSP的了解非常基础。

Answer 1

Redux devtools插件尝试在页面上注入代码。

CSP使用oidc-client.js进行checksession问题

1 个答案: