Отказано в загрузке скрипта, поскольку он нарушает следующую директиву политики безопасности содержимого

Привет, когда я пытался развернуть свое приложение на устройствах с системой android выше 5.0.0, я продолжал получать сообщения об ошибках такого рода:




07-03 18:39:21.621: D / SystemWebChromeClient (9132):
файл: / / / android_asset / www / index.html: строка 0: отказано в загрузке
сценарий 'http://xxxxx ' потому что это нарушает следующее содержание
Директивы в области политики безопасности: "скрипт-ФОК 'самостоятельная' 'небезопасно-ивал'
"небезопасно-встроенный". 07-03 18: 39: 21.621: I / chromium (9132):
[Информация: консоль (0)] " отказано чтобы загрузить скрипт 'http://xxx ' потому что это
нарушает следующего содержания политики безопасности директива: "сценарий-КГД
'self ''unsafe-eval' 'небезопасный-встроенный'".




Однако, если я развернул его на мобильном устройстве с системой android 4.4.x, политика безопасности работает с теми, что установлены по умолчанию: 



<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">


Затем я подумал, что, возможно, мне следует изменить что-то вроде этого: 



<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' 'unsafe-inline'; object-src 'self'; style-src 'self' 'unsafe-inline'; media-src *">


В принципе, оба варианта не работают для меня. У кого-нибудь есть идея, как это решить проблема?



Спасибо!

812   5  

5 ответов:

Попробуйте заменить мета-тег следующим образом: 

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' http://* 'unsafe-inline'; script-src 'self' http://* 'unsafe-inline' 'unsafe-eval'" />

Или в дополнение к тому, что у вас есть, вы должны добавить http://* к обоим style-src и script-src , как показано выше, добавленным после "self"

33  
2016-10-08 00:04:44

Автоответ, данный Магнусасой, сделал трюк, но для тех, кто пытается понять ответ, вот еще несколько деталей:

При разработке приложений Cordova с Visual Studio я попытался импортировать удаленный файл javascript [расположенный здесь http://Guess.What.com/MyScript.js] , но с ошибкой, упомянутой в названии.

Вот мета-тег Перед, в индексе.html-файл проекта 

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">

Вот исправленный мета-тег, позволяющий импорт удаленного скрипта: 

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *;**script-src 'self' http://onlineerp.solution.quebec 'unsafe-inline' 'unsafe-eval';** ">

И больше никаких ошибок!

28  
2017-12-01 16:52:22

Решается с помощью 

script-src 'self' http://xxxx 'unsafe-inline' 'unsafe-eval';
5  
2015-07-04 13:59:27

Мы использовали это: 

<meta http-equiv="Content-Security-Policy" content="default-src gap://ready file://* *; style-src 'self' http://* https://* 'unsafe-inline'; script-src 'self' http://* https://* 'unsafe-inline' 'unsafe-eval'">
4  
2016-11-29 15:40:44

Чтобы подробнее остановиться на этом добавлении 

script-src 'self' http://somedomain 'unsafe-inline' 'unsafe-eval';

К метатегу like so

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; script-src 'self' https://somedomain.com/ 'unsafe-inline' 'unsafe-eval';  media-src *">

Исправлена ошибка

2  
2016-02-14 22:06:51

Comments

    Ничего не найдено.
Click here to cancel reply.