2 node.js cordova content-security-policy visual-studio-cordova
我正在使用Visual Studio的Apache Cordova工具。
当我使用Ripple构建应用程序时,一切都很好。但是当我将其构建到我的android设备上时,该应用程序拒绝连接到我的外部API。
这是JavaScript控制台日志中的错误:
拒绝连接到“ http://XXX.herokuapp.com/api/posts/0/5 ”,因为它违反了以下内容安全策略指令:“ default- src'self '数据:gap:https:// ssl。 gstatic.com “不安全评估””。
请注意,未明确设置“ connect-src”,因此将“ default-src”用作后备。
和:
错误:无法在“ XMLHttpRequest”上执行“打开”:拒绝连接到“ http:// XXX”。herokuapp。com / api / posts / 0/5'
我的API使用Node.js构建并表达。我的server.js中有Access-Control-Allow-Headers,但是在我的设备上仍然无法使用。
Server.js:
//'use strict';
var express = require('express'); // call express
var app = express(); // define our app using express
var bodyParser = require('body-parser');
var methodOverride = require('method-override');
var router = express.Router();
var fs = require('fs');
var path = require('path');
app.use(bodyParser.json()); // parse application/json
app.use(bodyParser.json({ type: 'application/vnd.api+json' })); // parse application/vnd.api+json as json
app.use(bodyParser.urlencoded({ extended: true })); // parse application/x-www-form-urlencoded
app.use(methodOverride('X-HTTP-Method-Override')); // override with the X-HTTP-Method-Override header in the request. simulate DELETE/PUT
app.use(express.static(__dirname + '/www'));
// middleware to use for all requests
app.use(function (req, res, next) {
console.log('in middleware');
res.setHeader('Access-Control-Allow-Origin', '*');//allowing ripple's localhost get access to node's localhost(5432).
console.log(req.header);
res.setHeader('Access-Control-Allow-Methods', 'GET, POST, OPTIONS, PUT, PATCH, DELETE');
res.setHeader('Access-Control-Allow-Headers',"X-Requested-With,Content-Type");
//res.setHeader('Access-Control-Allow-Credentials', true);
// Pass to next layer of middleware
next();
});
require('./app/routes')(app); // pass our application into our routes -- must
app.use('/api', router);//put this line beofre passing app to routes.js for it to take effect.
var port = process.env.PORT || 8080;
app.listen(port, function() {
console.log("Listening on " + port);
});
exports = module.exports = app; // expose app
我也尝试过将meta标签添加到我的index.html文件中,但没有成功。
<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://localhost:8080 http://XXX.herokuapp.com">
任何想法可能是什么问题?
从错误消息。您正在JS中调用Ajax请求。但是您仅http://XXX.herokuapp.com在之后添加script-src,仅允许加载脚本内容。要允许Ajax请求,http://XXX.herokuapp.com需要connect-src像下面这样添加:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; connect-src 'self' http://XXX.herokuapp.com; style-src 'self' 'unsafe-inline'; media-src *">
或者,您可以在后面添加URL default-src,以设置允许所有内容的默认策略(加载脚本/ CSS内容,Ajax请求等)。因此meta标签应如下所示:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' http://XXX.herokuapp.com data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">
有关内容安全策略的详细信息,请参阅《内容安全策略参考》。
| 归档时间: |
|
| 查看次数: |
2793 次 |
| 最近记录: |