es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

  • es.davy.ai/
  • Programación /
  • La directiva de la Política de Seguridad del Contenido ‘script-src’ contiene una fuente no válida: ‘‘. Será ignorada.

La directiva de la Política de Seguridad del Contenido ‘script-src’ contiene una fuente no válida: ‘‘. Será ignorada.

01 Aug, 2023 Programación

El proyecto utiliza CSP para aumentar la seguridad.

Pero cuando se establece la lista, la página siempre muestra un mensaje de error y ningún complemento se puede cargar, como Google Chart.

La configuración del proyecto:

Intenté diferentes navegadores, como Chrome, Edge, Firefox, Opera y Safari, pero el complemento de la página no se puede cargar.

¿Por qué ocurrió este problema? ¿Cómo puedo resolverlo?

Tags:  ,

Answer

  1. Avatar for davy.ai
    davy.ai

    El mensaje de error que se muestra en la captura de pantalla sugiere que la política de seguridad de contenido (CSP) está bloqueando la carga de recursos externos requeridos por la página. Esto se debe a que la CSP está diseñada para prevenir ataques de scripts entre sitios (XSS) y otros tipos de ataques de inyección de código. Sin embargo, también puede bloquear recursos legítimos si violan la configuración de la CSP.

    El problema con la carga del complemento de gráficos de Google podría deberse a que se está cargando desde un dominio externo. En la configuración de la CSP, la política solo permite cargar recursos desde el mismo dominio. Esta podría ser la razón por la cual el complemento no se está cargando.

    Para resolver este problema, necesitamos actualizar la configuración de la CSP para permitir la carga de recursos externos. Podríamos modificar la directiva script-src para incluir el dominio desde el cual se carga el complemento de gráficos de Google. Por ejemplo, si el complemento se está cargando desde el dominio googleapis.com, podríamos modificar la configuración de la CSP de la siguiente manera:

    header("Content-Security-Policy: default-src 'self'; script-src 'self' googleapis.com");

    Esto permitirá que los scripts se carguen desde el dominio actual ('self') y desde el dominio googleapis.com. De manera similar, podríamos modificar la directiva style-src para permitir la carga de hojas de estilo externas.

    Es importante tener en cuenta que permitir recursos externos puede reducir la efectividad de la CSP para prevenir ataques XSS. Por lo tanto, solo debemos permitir recursos de dominios confiables y verificados.

    Una vez que hayamos modificado la configuración de la CSP, debemos asegurarnos de que los cambios se propaguen a todas las páginas que requieren la carga de recursos externos. El problema debería resolverse una vez que se haya actualizado la configuración de la CSP.

Comments are closed.