Erreur CSP lors de l'utilisation d'une bibliothèque tierce dans un plugin

peter.be · Juillet 13, 2023, 4:03

Après de nombreuses tentatives et approches différentes, j’ai réussi à charger avec succès une bibliothèque tierce à utiliser dans mon plugin.

La bibliothèque est située sous public/javascripts/some-library.js.

Dans mon contrôleur, je parviens à charger le script avec succès via :

loadScript("/plugins/my-plugin/javascripts/some-library.js")

Dans certaines occasions, dans ce fichier, la bibliothèque crée des Blobs et les assigne à des variables qui sont utilisées. Par exemple :

var A=URL.createObjectURL(new Blob(['\n\tsome code snippet...],{type:"application/javascript"}))

Et chaque fois que j’essaie d’utiliser la bibliothèque dans le code de mon plugin, j’obtiens :

Refused to load the script 'blob:http://localhost:4200/f33a6788-a853-4286-883a-48cb8e2c9cc1' because it violates the following Content Security Policy directive: "script-src http://localhost:4200/assets/ etc etc...

Quelle serait la meilleure façon de contourner ce problème ?

Merci pour toute aide et conseils !

Firepup650 · Juillet 13, 2023, 4:33

Et si vous ajoutiez simplement http://localhost:4200 à la CSP ?

peter.be · Juillet 13, 2023, 4:48

J’ai en fait essayé cela, et cela n’a rien changé

Firepup650 · Juillet 13, 2023, 4:59

Qu’en est-il de blob:http://localhost:4200 ?

peter.be · Juillet 13, 2023, 5:12

J’ai essayé cela aussi, mais c’est une déclaration invalide pour une CSP

peter.be · Juillet 14, 2023, 9:35

Pour ceux qui tombent sur ceci, la ligne correcte à ajouter à script src de la CSP est blob:

merefield · Juillet 15, 2023, 5:25

Attendez ! Vous n’avez pas besoin d’implémenter CSP en développement, vous n’êtes pas exposé aux attaquants ?

Cela bloquera également certains outils de développement potentiellement.

Désactivez simplement ce paramètre :

Simple.

Je retarderais ce casse-tête jusqu’à ce que vous ayez un plugin fonctionnel testé sur un serveur de staging de production.

peter.be · Juillet 15, 2023, 6:46

J’étais en effet dans la phase de préparation pour la production, donc c’était le dernier casse-tête à résoudre. Et d’ailleurs, je n’aime pas retarder ces choses, surtout quand j’ai besoin de savoir si elles pourraient être un obstacle potentiel et que je dois trouver une autre voie

merefield · Juillet 15, 2023, 6:56

Oui, mais vous devriez travailler sur la configuration CSP sur le serveur de staging de production qui a une véritable adresse Internet.

Localhost n’est pas une adresse Internet ! Ce n’est même pas https…

system · Août 14, 2023, 6:56

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

Sujet		Réponses	Vues
How to fix problem with CSP Support	8	6603	Mars 9, 2022
Refuse to reload script (CORS) with my settings Support	1	1120	Janvier 31, 2021
Can't get script tag to work in landing pages plugin due to content-security-policy Support	5	100	Juillet 1, 2025
Need help with the content security policy Support	4	748	Juin 15, 2020
A user cannot login due to CSP issue Support	5	453	Septembre 30, 2023

Erreur CSP lors de l'utilisation d'une bibliothèque tierce dans un plugin

Sujets connexes