Мобильная версияКод: Выделить всё
application-8846f773213213213332321321321323.js:83759 U**ncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive:** "script-src 'unsafe-inline' 'nonce-ewqe321PNhjdasdafdse2q3eurY42hk10fVB7en='".
< /code>
Ошибка возникает в этом файле create.js.erb: < /p>
get("");
Rails.application.configure do
config.content_security_policy do |policy|
policy.default_src :self, :unsafe_inline
policy.font_src :self, "https://fonts.gstatic.com"
policy.frame_src :self
policy.script_src :unsafe_inline
policy.script_src_elem :self, :unsafe_inline, "https://www.recaptcha.net"
policy.connect_src :self, "*.nr-data.net"m"
policy.style_src_elem :self, :unsafe_inline, "https://fonts.googleapis.com", "https://www.gstatic.com"
policy.img_src :self, :unsafe_inline, "data:"
policy.object_src :none
policy.base_uri :self
policy.report_uri "/csp_violation"
end
config.content_security_policy_nonce_generator = ->(_request) { SecureRandom.base64(32) }
config.content_security_policy_nonce_directives = %w[script-src]
config.content_security_policy_report_only = false
end
< /code>
Я хочу избежать добавления «небезопасного» в мой CSP, потому что он ослабляет безопасность от атак XSS. Как я могу отразить свой код для загрузки или выполнения JavaScript из widget_button_index_path (widget_type: @widget_type, format :: js), не требуя «небезопасной авант»? В идеале мне хотелось бы решение, которое работает с моей нынешней настройкой (Rails, JQuery и CSP с Nonce). < /P>
Любые предложения или примеры будут высоко оценены! Спасибо!
Подробнее здесь: https://stackoverflow.com/questions/794 ... b-in-rails
