我对Jenkins内容安全策略感到困惑.
我知道这些网站:
我有一个通过Jenkins Clover插件显示的html页面.这个html页面使用内联样式,例如:
<div class='greenbar' style='width:58px'>
div元素可视化进度条.使用默认的Jenkins CSP配置会产生以下结果: Progressbar_FAIL
我想要的结果如下: Progressbar_WORKS
我试图放松CSP规则,添加不同级别的参数(script-src,style-src)的不同组合(self,unsafe-inline,..)但没有任何作用.
所以我现在的问题是:
更新
1.尝试:
-Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'
在jenkins.xml文件中.然后发生以下错误:
拒绝应用内联样式,因为它违反了以下内容安全策略指令:"default-src'self'".要求内联执行,需要'unsafe-inline'关键字,散列('sha256-')或nonce('nonce -...').另请注意,'style-src'未明确设置,因此'default-src'用作后备.
2.尝试
-Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'; style-src 'self' jenkins.xml文件.然后发生以下错误:
拒绝应用内联样式,因为它违反了以下内容安全策略指令:"style-src'self'".要启用内联执行,需要'unsafe-inline'关键字,散列('sha256-')或nonce('nonce -...')
我明白这个尝试无法解决我的问题,因为default-src包含style-src
3.尝试
-Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'; style-src 'unsafe-inline' jenkins.xml文件.然后发生以下错误:
拒绝加载样式表s://jenkins/andsomedir/stylesheet.css [其https:// ...不允许发布两个以上的链接:(]因为它违反了以下内容安全策略指令:"style-src "不安全的内联"".
