#13Scripts inline bloqués par Firefox (Content Security Policy)
Hello, certaines fonctionnalités (supprimer un projet par exemple) ne fonctionnent plus dans les versions récentes de Firefox (et autres navigateurs?). Avec ce genre de messages en console:
Content Security Policy: Les paramètres de la page ont empêché le chargement d'une ressource : Une tentative d'exécution de scripts embarqués a été bloquée (settings:327)
SI je regarde à la ligne concernée:
<script>
var ajax = "https://telecom.dmz.se/bugs/public/ajax",
token = "blahblahblahblahblahblahblahblahblah",
verb_edit = "Modifier",
verb_preview = "Aperçu",
confirm_delete_issue = "Voulez-vous vraiment supprimer cette demande ?",
confirm_delete_comment = "Voulez-vous vraiment supprimer ce commentaire ?",
confirm_delete_upload = "Voulez-vous vraiment supprimer ce fichier ?";
$(document).ready(function() {
$(".m_settings").addClass("active");
});
</script>
Il y a 2 scripts inline bloqués. La raison semble être https://developer.mozilla.org/en-US/docs/Web/Security/CSP/DefaultCSPrestrictions:
Inline JavaScript By default, no inline JavaScript code executes. Only scripts loaded from files located on white-listed servers are executed.
Est il possible de passer ces scripts dans un fichier? J'ai l'impression que non (ils sont générés par php?). Une autre solution me convient aussi. Merci d'avance.
Ouvert par nodiscc il y a 10 années.
Lien corrigé https://developer.mozilla.org/en-US/docs/Web/Security/CSP/DefaultCSPrestrictions
Problème réglé. J'ai modifié la configuration de mon serveur apache de la façon suivante:
Header set Content-Security-Policy "script-src 'self'"
Header set Content-Security-Policy "script-src 'self' 'unsafe-inline'"