设置contentSecurityPolicy但忽略img-src

时间:2018-11-08 22:18:27

标签: playframework datatables content-security-policy playframework-2.6

最初的问题:

Chrome浏览器“拒绝加载图片'data:image / svg + xml:.........'

它是指数据表用于排序控件的箭头图像。解决方法似乎是稍微放松一下CSP。

尝试修复: (在application.conf中) contentSecurityPolicy =“ img-src'self'data:;; script-src'self''unsafe-eval''unsafe-inline'jquery-3.1.1.min.js * .facebook.net;”

结果: Chrome仍然拒绝加载图片,并且仍然显示“请注意,未明确设置img-src,因此将'default-src'用作后备。

问题:

在Play框架中,如何在contentSecurityProvider中指定多个指令,以使浏览器尊重我的img-src。即使我没有将安全级别设置为适当的级别,我也希望浏览器能够确认我已经设置了img-src。

信息:

Play Framework 2.6(Java) 数据表1.10.19 jQuery 3.3.1

谢谢您的建议。

您的朋友, latj

1 个答案:

答案 0 :(得分:0)

您应该精确使用img-src 'self' data: *;甚至是img-src 'self' data: *.example.com;之类的东西。

所以在您的情况下,它看起来像这样:

"img-src 'self' data: *; script-src 'self' 'unsafe-eval' 'unsafe-inline' jquery-3.1.1.min.js *.facebook.net;"

如果这没有帮助,请随后显示您的Google Chrome控制台日志。