Come integrare il pulsante di abbonamento Razorpay con restrizioni CSP

Supporto
1

Ho appena creato una semplice pagina statica per gli abbonamenti e ora voglio incorporare un pulsante in quella pagina.

Il cui codice è:

<form>
    <script
        src="https://cdn.razorpay.com/static/widget/subscription-button.js"
        data-subscription_button_id="pl_randodmdi7373737"
        data-button_theme="brand-color"
        async>
    </script>
</form>

Per quanto ne so, la CSP non mi permetterà di usare lo script, c’è un modo per farlo?

PS: Sto usando il Landing Page Plug-in per la pagina personalizzata.

2

Questo potrebbe aiutare

e abbiamo maggiori informazioni su CSP qui Mitigate XSS Attacks with Content Security Policy

3 Mi Piace
3 
Content security policy script src 

​
https://cdn.razorpay.com
Aggiungi elemento…

​
content_security_policy_script_src: Il valore deve essere 'unsafe-eval' o 'wasm-unsafe-eval', oppure nella forma '\u003chash algorithm\u003e-\u003cbase64 value\u003e' dove gli algoritmi di hash supportati sono sha256, sha384 o sha512. Assicurati che il tuo input sia racchiuso tra virgolette singole.
Origini script aggiuntive in whitelist. L'host corrente e la CDN sono inclusi per impostazione predefinita. Vedi Mitigare gli attacchi XSS con la Content Security Policy. (CSP). Altre origini host vengono ignorate poiché strict-dynamic è abilitato.

Questo è l’errore che sto ricevendo.

4

Bene, questo è l’errore con la configurazione delle impostazioni nell’area amministrativa… dopo aver aggiunto il tuo script, quello che devi cercare è un errore nella console del tuo browser (fai clic destro sulla pagina in cui lo script dovrebbe essere caricato, seleziona ispeziona, quindi naviga nella scheda “console”)

Nella console dovresti vedere un errore simile a questo:

Un messaggio di errore rosso viene visualizzato in un browser web, indicando che uno script inline è stato rifiutato a causa di una violazione della direttiva della policy di sicurezza. (Sottotitolato dall'IA)
Un messaggio di errore rosso viene visualizzato in un browser web, indicando che uno script inline è stato rifiutato a causa di una violazione della direttiva della policy di sicurezza. (Sottotitolato dall'IA)1280×132 27.9 KB

Questo errore fornisce un valore hash o nonce che aggiungi quindi all’impostazione “content security policy script src” dell’amministratore.

1 Mi Piace