Rre*_*Cat 10 javascript configuration svg data-uri content-security-policy
我正在使用 js 插件,它在自身内部添加 SVG 图像。我已将 CSP 策略添加到我的网站,但我无法将其配置为允许插件代码。
它的代码如下:
label=$("<object style='height:10px; width:10px;' type='image/svg+xml' data='data:image/svg+xml;charset=UTF-8," +
"<svg xmlns=\"http://www.w3.org/2000/svg\">" +
"<rect x=\"0\" y=\"0\" some parameters/>"+
"<text>SomeText</text></svg>'></object>");
el.html(label)
我正在寻找一种允许在对象中呈现 SVG 图像的配置。我从那里尝试了不同的选项 - CSP: object-src。
但我总是收到如下错误:
Refused to load plugin data from 'data:image/svg+xml;charset=UTF-8, my svg here' because it violates the following Content Security Policy directive: "object-src 'unsafe-eval'".
在这种情况下如何正确配置 CSP?
sto*_*ate 16
我最近遇到了同样的问题,并通过添加以下内容来解决它:
Content-Security-Policy: img-src data: w3.org/svg/2000
sid*_*ker 10
该 SVG 图像由data:URL提供,因此必须更新您的 CSP 策略以允许这样做。
您没有显示您当前的政策是什么或您在哪里设置它,但假设您使用Content-Security-Policy标头设置它并且它当前有object-src 'unsafe-eval',那么您可以data:通过更新政策的那部分来允许URL 看起来像这样:
Content-Security-Policy: object-src data: 'unsafe-eval'
这仅显示Content-Security-Policy标题中当前策略的相关部分。无论您当前在该标头值中有什么其他指令,您都希望保持原样。
| 归档时间: |
|
| 查看次数: |
12927 次 |
| 最近记录: |