CSP使用oidc-client.js进行checksession问题

时间:2017-06-20 11:05:16

标签: javascript identityserver4 content-security-policy oidc oidc-client-js

我正在使用oidc-client构建SPA,以登录使用Identity Server 4构建的IDP。

登录重定向似乎工作正常但在Firefox上我遇到了以下CSP问题

enter image description here

Content Security Policy: Ignoring "'unsafe-inline'" within script-src or style-src: nonce-source or hash-source specified  (unknown)
Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src 'unsafe-inline' 'sha256-VDXN0nOpFPQ102CIVz+eimHA5e+wTeoUUQj5ZYbtn8w='"). Source: !function(t){function __webpack_require_....  checksession:1
Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src 'unsafe-inline' 'sha256-VDXN0nOpFPQ102CIVz+eimHA5e+wTeoUUQj5ZYbtn8w='"). Source: window.devToolsOptions = Object.assign(w....  checksession:1
Load denied by X-Frame-Options: http://localhost:5007/home/error?errorId=a74accc61bb821ee1f42f7013a306e90 does not permit cross-origin framing.  (unknown)

我没有在我的SPA上设置任何CSP元标记,我想知道是否必须这样做。 挖掘一下,似乎oidc-client正在我的应用程序中添加一个iframe,它指向Identity Server中的checksession页面(其中包含CSP标题“default-src'none'; script-src'unsafe-inline'' SHA256-VDXN0nOpFPQ102CIVz + eimHA5e + wTeoUUQj5ZYbtn8w =“')

有人可以帮我解决这个问题或者让我走向正确的方向吗?我对CSP的了解非常基础。

1 个答案:

答案 0 :(得分:1)

Redux devtools插件尝试在页面上注入代码。