因为文档的框架是沙盒,并且未设置“允许脚本”权限
Ela*_*nda 0 html css google-chrome jenkins
我编写了一个程序,使用此标头生成一个html文件:
但我根本没有iframe,更不用说在沙箱中了
当我在浏览器(位于Jenkins服务器上)中打开页面时,看不到CSS。
这些是错误(安全策略)
我看过一些关于股票溢出的帖子,说的<meta>应该是:
<meta http-equiv="content-type" content="text/html; charset=utf-8 ;">
<meta http-equiv="Content-Security-Policy" content="script-src 'self' http://onlineerp.solution.quebec 'unsafe-inline' 'unsafe-eval'; style-src 'self' maxcdn.bootstrapcdn.com">
但是正如您在我的打印屏幕上看到的那样,它没有帮助
任何想法,我该如何解决?
您正在从Jenkins提供HTML页面,因此Jenkins控制响应标头,而不是您的内容。詹金斯(Jenkins)最近的安全修复程序强加了严格的默认内容安全策略。您应该能够看到Jenkins在响应标头中插入的Content-Security-Policy标头。
一种解决方案是放宽Jenkins的配置,有关详细信息,请参阅“ 配置内容安全策略” Wiki页面:
可以通过设置系统属性hudson.model.DirectoryBrowserSupport.CSP来修改Jenkins发送的CSP标头:
如果其值为空字符串,例如
java -Dhudson.model.DirectoryBrowserSupport.CSP= -jar jenkins.war,则将根本不发送标头。(警告!)这可能是非常不安全的,只有在检查了总体安全设置之后才能使用。
您可以使用Jenkins脚本控制台尝试不同的设置。要从外部站点启用CSS和图像,可以使用以下方法:
System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "sandbox; default-src 'self'; img-src '*'; style-src '*' 'unsafe-inline';")
另一种解决方案是将生成的页面发布(部署)到另一台服务器上,您可以在其中控制内容安全策略。
| 归档时间: |
|
| 查看次数: |
9552 次 |
| 最近记录: |