Q&Aejs
1<script src="https://ajax.googleapis.com/ajax/libs/d3js/5.15.1/d3.min.js"></script> 2 3<img src="https://image.tmdb.org + <%= movie.poster_path %>" />
error
1Refused to load the script 'https://ajax.googleapis.com/ajax/libs/d3js/5.15.1/d3.min.js' because it violates the following Content Security Policy directive: "script-src 'self'". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback. 2 3Refused to load the image '<URL>' because it violates the following Content Security Policy directive: "img-src 'self' data:". 4
jqueryの読み込みとimgタグのsrc設定時に上記エラーが発生します。
今までCSPに引っかかった際には、インラインのonclickをJSのaddEventListenerで書き換えたり、scriptタグをlinkタグに変更するなどして対処してきましたが、あまり理解できていませんでした。
CSPについては、読み込む外部ファイルの種類?形式?を制限することで、XSS攻撃などによって悪意のあるスクリプトが紛れ込んだ際にブラウザがそれらの実行を防ぐことができるものであると考えいています。(間違っていたらご指摘ください)
しかしスクリプトタグ形式で外部ファイルを読み込んでもエラーを吐かないこともあり、具体的にどういう場合にCSPエラーが発生するのかよく分かりません。
その辺りの内容と今回のようなケースの対処の仕方を教えて頂けないでしょうか?
###追記
html
1<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://ajax.googleapis.com; img-src https://image.tmdb.org;">
このように記載しても変わりませんでした。
回答2件
0
「CSPの設定がわからない」かつ「CSPを有効にすべき、強い動機付けがない」のであれば、止めてしまうほうが良いかと思います。
CSPはあくまで予防的対策(ほかの実装がきっちりしていれば、CSPがなくてもセキュリティ的な問題は生じない)なので、サイト内の書き換えで設定変更が必要となった際にきちんと対応できない状況であれば、設定を維持することはできません。
投稿2020/08/08 22:33
総合スコア145183
0
自己解決
JavaScript
1const { expressCspHeader, INLINE, NONE, SELF } = require('express-csp-header'); 2 3app.use(expressCspHeader({ 4 directives: { 5 'script-src': [SELF, 'ajax.googleapis.com',], 6 'img-src': [SELF, 'image.tmdb.org'] 7 }, 8}));
express-csp-headerというライブラリを使ってCSPのディレクティブを設定することができました。
投稿2020/08/17 15:36
総合スコア63
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/08/09 02:39 編集