Кордова - отказывается выполнять обработчик события inline, поскольку он нарушает следующий контент. Политика безопасности

Я тренируюсь для разработки приложений cordova, и я оборачиваю проблему с политикой безопасности контента.

Мое приложение работает с эмулятором Android, но когда мне нужно выполнить javascript, я получаю сообщение в netbeans (окне вывода).

Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self' https://ssl.gstatic.com". (22:35:56:126 | error, security)
  at www/index.html:58

Мой код ниже. Это мой index.html. Я пытаюсь понять, как работает CSP, и я думаю, что понимаю концепцию, но в этом случае я не понимаю проблему. Строка 58 - комментарий.

<html>        
    <head>   

        <meta http-equiv="Content-Security-Policy" content="default-src 'self' * data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self'; script-src 'self' https://ssl.gstatic.com; media-src *">
        <meta name="format-detection" content="telephone=no">
        <meta name="msapplication-tap-highlight" content="no">
        <meta name="viewport" content="user-scalable=no, initial-scale=1, maximum-scale=1, minimum-scale=1, width=device-width">

        <title>Hello World</title>

        <link rel="stylesheet" type="text/css" href="css/index.css">

    </head>

    <body>
        <div class="app">
            <h1>Apache Cordova</h1>
            <div id="deviceready" class="blink">
                <p class="event listening">Connecting to Device</p>
                <p class="event received">Device is Ready</p>
            </div>
        </div>

        <!--
        line 58
        -->
        <button onclick="capturePhoto();">Capture Photo</button> <br>

        <img style="display:none;width:80px;height:80px;" id="smallImage" src="" />
        <img style="display:none;" id="largeImage" src="" />

        <script type="text/javascript" src="cordova.js"></script>
        <script type="text/javascript" src="js/index.js"></script>
    </body>        
  </html>

Спасибо за помощь, потому что мне это нужно. Жером

Ответ 1

Отметьте эту ссылку она говорит:

Встроенный JavaScript не будет выполнен. Это ограничение запрещает как встроенные <script> блоки, так и встроенные обработчики событий (e.g. button onclick="...").

Чтобы избежать проблем с межсайтовыми сценариями, как указано ниже,

one.app#/home:1 Refused to execute inline event handler because it violates the following Content
Security Policy directive: "script-src 'self' 'nonce-d452460d-e219-a6e5-5709-c8af6ca82889'
chrome-extension: 'unsafe-inline' 'unsafe-eval' https://sfdc.azureedge.net 
*.na34.visual.force.com https://ssl.gstatic.com/accessibility/". Note that 'unsafe-inline'
is ignored if either a hash or nonce value is present in the source list.

Перейдите для event listener functions вместо onclick='myFun()".

<body onload="main();">
    <button onclick="clickHandler(this)">
        Click for awesomeness!
    </button>
</body>
<script>
    function clickHandler(element) {
        // On click Code
    }

    function main() {
        // Initialization work goes here.
    }
</script>

Чтобы работать с новым браузером, вам нужно написать свой код с четким разделением содержимого и поведения.

<body>
  <button>Click for awesomeness!</button>
</body>
<script src="popup.js"></script>

<!-- popup.js -->
    document.addEventListener('DOMContentLoaded', function () {
      document.querySelector('button').addEventListener('click', clickHandler);
      main();
    });

    function clickHandler(element) {
        // On click Code
    }

    function main() {
        // Initialization work goes here.
    }
<!-- popup.js -->

Ответ 2

, когда я проверяю элемент в консоли... это была ошибка

Отказался от выполнения обработчика inline-события, поскольку он нарушает следующую директиву политики безопасности контента: "default-src" self 'data: gap: https://ssl.gstatic.com' небезопасно- Eval ". Для включения встроенного выполнения требуется либо ключевое слово" небезопасное-встроенное ", либо хэш (" sha256 -... "), либо nonce (" nonce -..."). Также обратите внимание, что 'script -src' явно не задан, поэтому в качестве резервной копии используется 'default-src'.

Внутренний код считается вредоносным

Должно быть ясно, что CSP (Политика безопасности контента) основана на источниках whitelist, так как это однозначный способ дать браузеру возможность рассматривать конкретные наборы ресурсов как приемлемые и отклонить остальные. Однако исходный белый список не устраняет самую большую угрозу, создаваемую атаками XSS: inline script injection. Если злоумышленник может вставить тег script, который содержит только вредоносную полезную нагрузку (sendMyDataToEvilDotCom();), браузер не имеет механизма, чтобы отличить его от законного встроенного тега script. CSP решает эту проблему, полностью запрещая встроенный script: это единственный способ убедиться.

Этот запрет включает не только скрипты, встроенные непосредственно в теги script, но также встроенные обработчики событий и javascript: URL. Вам нужно переместить содержимое тэгов script во внешний файл и заменить javascript: URL-адреса и соответствующие вызовы addEventListener. Например, мы можем переписать следующее:

 <script>
  function doAmazingThings() {
  alert('YOU AM AMAZING!');
 }
</script>
<button onclick='doAmazingThings();'>Am I amazing?</button>

Что-то большее:

amazing.html:

 <script src='amazing.js'></script>
 <button id='amazing'>Am I amazing?</button>

amazing.js:

  function doAmazingThings() {
     alert('YOU AM AMAZING!');
  }
  document.addEventListener('DOMContentReady', function () {
  document.getElementById('amazing')
      .addEventListener('click', doAmazingThings);
    });

Справочник по политике безопасности контента

Основной проблемой, используемой атаками XSS, является неспособность браузеров различать script, предназначенные для участия в вашем приложении, а script, которые были злоупотребительны третьей стороной

Политика распространяется на широкий спектр ресурсов base-uri ограничивает URL-адреса, которые могут отображаться в базовом элементе страницы. child-src перечисляет URL-адреса для рабочих и содержимое встроенного фрейма. Например: child-src https://youtube.com позволит встраивать видео с YouTube, но не из других источников. Используйте это вместо устаревшей директивы frame-src. connect-src ограничивает происхождение, к которому вы можете подключиться (через XHR, WebSockets и EventSource). font-src определяет источник, который может обслуживать веб-шрифты. Гуглские веб-шрифты можно включить с помощью font-src https://themes.googleusercontent.com form-action перечисляет допустимые конечные точки для отправки из тегов. frame-ancestors определяет источники, которые могут вставлять текущую страницу. Эта директива применяется к фрейму, iframe, embed и тегам апплета. Эта директива не может использоваться в метатегах и применяется только к не-HTML-ресурсам. frame-src устарел. Вместо этого используйте child-src. img-src определяет происхождение, из которого могут быть загружены изображения. media-src ограничивает исход, разрешенный для доставки видео и аудио. object-src позволяет управлять Flash и другими плагинами. типы плагинов ограничивают типы плагинов, которые может вызывать страница. report-uri указывает URL-адрес, по которому браузер отправляет отчеты при нарушении политики безопасности содержимого. Эта директива не может использоваться в тегах. style-src - это script -srcs аналог для таблиц стилей. upgrade-insecure-requests Указывает пользовательским агентам переписывать схемы URL, изменяя HTTP на HTTPS. Эта директива предназначена для веб-сайтов с большим количеством старых URL-адресов, которые необходимо переписать.

В исходном списке также принимаются четыре ключевых слова:

'none', как вы могли ожидать, ничего не соответствует.

'self' соответствует текущему началу, но не его поддоменам.

'unsafe-inline' позволяет встроить JavaScript и CSS

'небезопасно-eval' позволяет использовать механизмы text-to-JavaScript, такие как eval

Ответ 3

Попробуйте добавить 'img-src *' в тег Content-Security-Policy:

https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' "Небезопасные-рядный"; media-src *; img-src *" >