إضافة سكريبتات السمات تلقائيًا إلى CSP

david · 23 أبريل 2020، 5:05م

كثيرًا ما نرى مواضيع دعم من أشخاص يحاولون إضافة مراجع جافا سكريبت خارجية إلى قوالبهم. افتراضيًا، ستقوم سياسة أمان المحتوى بحظر ذلك، ويجب على المدير إضافة السكربت يدويًا إلى إعدادات موقع CSP (أو إعدادات/معدّلات القالب).

ومع ذلك، قدم @Johani اقتراحًا ممتازًا حول كيفية تحسين ذلك.

بدلًا من طلب نسخ ولصق العناصر من قبل مطوري القوالب عبر واجهة إدارة الموقع، يمكننا أتمتة هذه العملية. يمكننا تحليل جميع عناصر HTML في القالب، واستخراج مصدر أي سكربتات خارجية، وإضافتها إلى سياسة أمان المحتوى.

بعد كل شيء، الحواسيب أفضل بكثير من البشر في عمليات النسخ واللصق المتكررة!

لقد فتحت طلب دمج (PR) يطبق ذلك:

pmusaraj · 27 أبريل 2020، 2:25م

I am seeing some console errors locally:

In production environments, I also see sources added in the format https://CDN_SERVER/theme-javascripts/31657759d037d8c06397e9965a1113169100846e.js... which is redundant, because the policy already whitelists https://CDN_SERVER/theme-javascripts. Probably limit the auto-extension to to external script sources only?

david · 27 أبريل 2020، 2:59م

Thanks @pmusaraj, I added some more checks to make sure we don’t serve invalid urls in the CSP, and also made sure theme-javascript URLs are excluded:

https://github.com/discourse/discourse/commit/f95609ae23ce1604b5f53c9d232e66895cfc9ee7

fzngagan · 23 أكتوبر 2020، 1:02م

هذا رائع. @merefield أليس هذا رائعًا جدًا؟

الموضوع		الردود	مرات العرض
CSP error: Couldn't parse invalid host /theme-javascripts/ Support	5	1568	28 مايو 2020
Adding JavaScript to a theme in /head not working (UserWay) Support	4	1438	29 مايو 2020
Add CSP nonce-source support Development	12	4046	2 نوفمبر 2018
Can't get script tag to work in landing pages plugin due to content-security-policy Support	5	164	1 يوليو 2025
Content-Security-Policy now uses 'strict-dynamic' Announcements	13	1754	2 سبتمبر 2024

إضافة سكريبتات السمات تلقائيًا إلى CSP

الموضوعات ذات الصلة