質問編集履歴
9
追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,7 +1,7 @@
|
|
|
1
1
|
```ejs
|
|
2
2
|
<script src="https://ajax.googleapis.com/ajax/libs/d3js/5.15.1/d3.min.js"></script>
|
|
3
3
|
|
|
4
|
-
<img src="<%=
|
|
4
|
+
<img src="https://image.tmdb.org + <%= movie.poster_path %>" />
|
|
5
5
|
```
|
|
6
6
|
|
|
7
7
|
```error
|
|
@@ -19,4 +19,11 @@
|
|
|
19
19
|
|
|
20
20
|
しかしスクリプトタグ形式で外部ファイルを読み込んでもエラーを吐かないこともあり、具体的にどういう場合にCSPエラーが発生するのかよく分かりません。
|
|
21
21
|
|
|
22
|
-
その辺りの内容と今回のようなケースの対処の仕方を教えて頂けないでしょうか?
|
|
22
|
+
その辺りの内容と今回のようなケースの対処の仕方を教えて頂けないでしょうか?
|
|
23
|
+
|
|
24
|
+
###追記
|
|
25
|
+
```html
|
|
26
|
+
<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://ajax.googleapis.com; img-src https://image.tmdb.org;">
|
|
27
|
+
```
|
|
28
|
+
|
|
29
|
+
このように記載しても変わりませんでした。
|
8
誤字
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -13,7 +13,7 @@
|
|
|
13
13
|
|
|
14
14
|
jqueryの読み込みとimgタグのsrc設定時に上記エラーが発生します。
|
|
15
15
|
|
|
16
|
-
今まで
|
|
16
|
+
今までCSPに引っかかった際には、インラインのonclickをJSの`addEventListener`で書き換えたり、scriptタグをlinkタグに変更するなどして対処してきましたが、あまり理解できていませんでした。
|
|
17
17
|
|
|
18
18
|
CSPについては、読み込む外部ファイルの種類?形式?を制限することで、XSS攻撃などによって悪意のあるスクリプトが紛れ込んだ際にブラウザがそれらの実行を防ぐことができるものであると考えいています。(間違っていたらご指摘ください)
|
|
19
19
|
|
7
言い回しの変更
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -13,7 +13,7 @@
|
|
|
13
13
|
|
|
14
14
|
jqueryの読み込みとimgタグのsrc設定時に上記エラーが発生します。
|
|
15
15
|
|
|
16
|
-
今までも
|
|
16
|
+
今までもCSPに引っかかった際には、インラインのonclickをJSの`addEventListener`で書き換えたり、scriptタグをlinkタグに変更するなどして対処してきましたが、あまり理解できていませんでした。
|
|
17
17
|
|
|
18
18
|
CSPについては、読み込む外部ファイルの種類?形式?を制限することで、XSS攻撃などによって悪意のあるスクリプトが紛れ込んだ際にブラウザがそれらの実行を防ぐことができるものであると考えいています。(間違っていたらご指摘ください)
|
|
19
19
|
|
6
追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -13,9 +13,9 @@
|
|
|
13
13
|
|
|
14
14
|
jqueryの読み込みとimgタグのsrc設定時に上記エラーが発生します。
|
|
15
15
|
|
|
16
|
-
今までも何度かCSPに引っかかったことがありましたが、インラインのonclickをJSの`addEventListener`で書き換えたり、scriptタグをlinkタグに変更するなどして対処してきました。
|
|
16
|
+
今までも何度かCSPに引っかかったことがありましたが、インラインのonclickをJSの`addEventListener`で書き換えたり、scriptタグをlinkタグに変更するなどして対処してきましたが、あまり理解できていませんでした。
|
|
17
17
|
|
|
18
|
-
CSPについては、読み込む外部ファイルの種類?形式?を制限することで、XSS攻撃などによって悪意のあるスクリプトが紛れ込んだ際にブラウザがそれらの実行を防ぐことができるものであると
|
|
18
|
+
CSPについては、読み込む外部ファイルの種類?形式?を制限することで、XSS攻撃などによって悪意のあるスクリプトが紛れ込んだ際にブラウザがそれらの実行を防ぐことができるものであると考えいています。(間違っていたらご指摘ください)
|
|
19
19
|
|
|
20
20
|
しかしスクリプトタグ形式で外部ファイルを読み込んでもエラーを吐かないこともあり、具体的にどういう場合にCSPエラーが発生するのかよく分かりません。
|
|
21
21
|
|
5
誤字
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,10 +1,10 @@
|
|
|
1
|
-
```
|
|
1
|
+
```ejs
|
|
2
2
|
<script src="https://ajax.googleapis.com/ajax/libs/d3js/5.15.1/d3.min.js"></script>
|
|
3
3
|
|
|
4
4
|
<img src="<%= imageBaseUrl + movie.poster_path %>" />
|
|
5
5
|
```
|
|
6
6
|
|
|
7
|
-
```
|
|
7
|
+
```error
|
|
8
8
|
Refused to load the script 'https://ajax.googleapis.com/ajax/libs/d3js/5.15.1/d3.min.js' because it violates the following Content Security Policy directive: "script-src 'self'". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
|
|
9
9
|
|
|
10
10
|
Refused to load the image '<URL>' because it violates the following Content Security Policy directive: "img-src 'self' data:".
|
4
追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -4,7 +4,7 @@
|
|
|
4
4
|
<img src="<%= imageBaseUrl + movie.poster_path %>" />
|
|
5
5
|
```
|
|
6
6
|
|
|
7
|
-
```
|
|
7
|
+
```Error
|
|
8
8
|
Refused to load the script 'https://ajax.googleapis.com/ajax/libs/d3js/5.15.1/d3.min.js' because it violates the following Content Security Policy directive: "script-src 'self'". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
|
|
9
9
|
|
|
10
10
|
Refused to load the image '<URL>' because it violates the following Content Security Policy directive: "img-src 'self' data:".
|
3
追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,7 +1,7 @@
|
|
|
1
1
|
```html
|
|
2
2
|
<script src="https://ajax.googleapis.com/ajax/libs/d3js/5.15.1/d3.min.js"></script>
|
|
3
3
|
|
|
4
|
-
|
|
4
|
+
<img src="<%= imageBaseUrl + movie.poster_path %>" />
|
|
5
5
|
```
|
|
6
6
|
|
|
7
7
|
```
|
2
追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,12 +1,17 @@
|
|
|
1
1
|
```html
|
|
2
2
|
<script src="https://ajax.googleapis.com/ajax/libs/d3js/5.15.1/d3.min.js"></script>
|
|
3
|
+
|
|
4
|
+
<img src="<%= imageBaseUrl + movie.poster_path %>" />
|
|
3
5
|
```
|
|
4
6
|
|
|
5
7
|
```
|
|
6
8
|
Refused to load the script 'https://ajax.googleapis.com/ajax/libs/d3js/5.15.1/d3.min.js' because it violates the following Content Security Policy directive: "script-src 'self'". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
|
|
9
|
+
|
|
10
|
+
Refused to load the image '<URL>' because it violates the following Content Security Policy directive: "img-src 'self' data:".
|
|
11
|
+
|
|
7
12
|
```
|
|
8
13
|
|
|
9
|
-
jquery
|
|
14
|
+
jqueryの読み込みとimgタグのsrc設定時に上記エラーが発生します。
|
|
10
15
|
|
|
11
16
|
今までも何度かCSPに引っかかったことがありましたが、インラインのonclickをJSの`addEventListener`で書き換えたり、scriptタグをlinkタグに変更するなどして対処してきました。
|
|
12
17
|
|
1
追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -8,7 +8,7 @@
|
|
|
8
8
|
|
|
9
9
|
jqueryを読み込むと上記エラーが発生します。
|
|
10
10
|
|
|
11
|
-
今までも何度かCSPに引っかかったことがあり、インラインのonclickをJSの`addEventListener`で書き換えたり、scriptタグをlinkタグに変更するなどして対処してきました。
|
|
11
|
+
今までも何度かCSPに引っかかったことがありましたが、インラインのonclickをJSの`addEventListener`で書き換えたり、scriptタグをlinkタグに変更するなどして対処してきました。
|
|
12
12
|
|
|
13
13
|
CSPについては、読み込む外部ファイルの種類?形式?を制限することで、XSS攻撃などによって悪意のあるスクリプトが紛れ込んだ際にブラウザがそれらの実行を防ぐことができるものであると理解しています。(間違っていたらご指摘ください)
|
|
14
14
|
|