Tag: CONTENT-SECURITY-POLICY
Aunque se usó ‘strict-dynamic’ para su uso en ‘chrome’ y ‘firefox’, Safari no lo admitió, permitiendo usar hosts nombrados y ‘unsafe-inline’ como alternativa. Pero Safari no admite ‘unsafe-inline’ con ‘strict-dynamic’. Aunque mi política de CSP es 'nonce-${hash}' 'strict-dynamic' …named hosts 'self' 'unsafe-inline', Safari me indica: Refused to execute a script . . . Read more
Cuando activas la política de seguridad de contenido en .env a través de “app.CSPEnabled = true”, se crea un nonce para cada CSS y JavaScript en línea para la barra de depuración, pero NO para el script en línea y los estilos en línea de Kint. Puedo ver el texto . . . Read more
Estoy intentando implementar la Política de Seguridad de Contenido en mi sitio web. Pero al implementar script-src me da este error: “No se pudo cargar el script ‘https://www.googletagmanager.com/gtm.js?id=GTM-XXXXX’ porque viola lo siguiente.” Mi Política de Seguridad de Contenido es: Content-Security-Policy: script-src ‘self’ ‘unsafe-eval’ https://ajax.googleapis.com/ajax/libs/jquery/3.6.0/jquery.min.js https://cdn.jsdelivr.net/npm/bootstrap@5.1.3/dist/js/bootstrap.min.js https://www.google-analytics.com ‘unsafe-eval’ ‘unsafe-inline’ https://*.googletagmanager.com/gtm.js/ https://tagmanager.google.com/http://www.googleadservices.com/pagead/conversion_async.js . . . Read more
Me resulta difícil entender un error que arroja mi aplicación al intentar invocar una API REST. Mi aplicación, basada en HTML puro, JavaScript y utilizando jQuery, se ejecuta en el servidor Jetty. El servidor ha implementado la política de seguridad de contenido (Content-Security-Policy): Encabezados HTTP personalizados que se deben agregar . . . Read more
Estoy intentando acceder a un script de la API de reproductor de YouTube en un iframe para poder reproducir o pausar un video en una extensión de Chrome. Mi JS se muestra a continuación (de apireference>): var tag = document.createElement(‘script’); tag.src = “https://www.youtube.com/iframe_api”; var firstScriptTag = document.getElementsByTagName(‘script’)[0]; firstScriptTag.parentNode.insertBefore(tag, firstScriptTag); var . . . Read more