Установка contentSecurityPolicy, но img-src игнорируется

Начальная проблема:

Chrome «отказался загружать данные изображения»: image / svg + xml: ......... '

Это относится к изображению стрелок, которое использует данные для управления сортировкой. Решение, похоже, немного ослабить CSP.

Попытка исправить: (in application.conf) contentSecurityPolicy = "img-src 'self' data :; script-src 'self' 'небезопасно-eval' 'небезопасно-inline' jquery-3.1.1.min.js * .facebook. сеть;"

Результат: Chrome по-прежнему отказывается загружать изображение, и он все еще говорит «Обратите внимание, что img-src явно не установлен, поэтому« default-src »используется как резерв.

Вопрос:

В Play Framework, как указать несколько директив в contentSecurityProvider, чтобы браузер уважал мой img-src. Даже если у меня нет уровня безопасности, установленного на нужный уровень, я бы ожидал, что браузер подтвердит, что я установил img-src.

Информация:

Play Framework 2.6 (Java) DataTables 1.10.19 JQuery 3.3.1

Спасибо за любой совет.

Ваш приятель, лат

playframework datatables content-security-policy playframework-2.6

Всего 1 ответ

Вы должны использовать img-src 'self' data: *; точно или даже что-то вроде img-src 'self' data: *.example.com; ,

Поэтому в вашем случае это будет выглядеть так:

"img-src 'self' data: *; script-src 'self' 'unsafe-eval' 'unsafe-inline' jquery-3.1.1.min.js *.facebook.net;"

Если это не поможет, тогда покажите свой журнал консоли Google Chrome.