Comment intégrer le bouton d'abonnement Razorpay avec les restrictions CSP

Soutien
1

J’ai juste créé une page statique simple pour les abonnements et je veux maintenant intégrer un bouton sur cette page.

Pour lequel le code est :

<form>
    <script
        src="https://cdn.razorpay.com/static/widget/subscription-button.js"
        data-subscription_button_id="pl_randodmdi7373737"
        data-button_theme="brand-color"
        async>
    </script>
</form>

D’après ce que je sais, le CSP ne me permettra pas d’utiliser le script, y a-t-il un moyen que cela soit possible ?

PS : J’utilise le plug-in Landing Page pour la page personnalisée.

2

Cela pourrait aider

et nous avons plus d’informations sur CSP ici Mitigate XSS Attacks with Content Security Policy

3 « J'aime »
3 
Content security policy script src 

​
https://cdn.razorpay.com
Ajouter un élément…

​
content_security_policy_script_src : La valeur doit être 'unsafe-eval' ou 'wasm-unsafe-eval', ou sous la forme '\u003chash algorithm\u003e-\u003cbase64 value\u003e' où les algorithmes de hachage pris en charge sont sha256, sha384 ou sha512. Assurez-vous que votre entrée est entourée d'apostrophes simples.
Sources de script supplémentaires autorisées. L'hôte actuel et le CDN sont inclus par défaut. Voir Atténuer les attaques XSS avec la politique de sécurité du contenu. (CSP). Les autres sources d'hôte sont ignorées car strict-dynamic est activé.

C’est l’erreur que j’obtiens.

4

Bien, c’est l’erreur avec la configuration des paramètres dans la zone d’administration… après avoir ajouté votre script, vous devez rechercher une erreur dans la console de votre navigateur (cliquez avec le bouton droit sur la page où le script doit être chargé, sélectionnez inspecter, puis accédez à l’onglet « console »)

Dans la console, vous devriez voir une erreur similaire à celle-ci :

Un message d'erreur rouge s'affiche dans un navigateur Web, indiquant qu'un script inline a été refusé à l'exécution en raison d'une violation de la directive de politique de sécurité. (Légendé par l'IA)
Un message d'erreur rouge s'affiche dans un navigateur Web, indiquant qu'un script inline a été refusé à l'exécution en raison d'une violation de la directive de politique de sécurité. (Légendé par l'IA)1280×132 27.9 KB

Cette erreur fournit une valeur de hachage ou une valeur nonce que vous ajoutez ensuite au paramètre “content security policy script src” de l’administrateur.

1 « J'aime »