"[Raport Only] Odmowa załadować czcionkę ..." komunikat o błędzie na konsolę

Question

W szczególności:

[Report Only] Refused to load the font 'data:application/x-font-woff;charset=utf-8;base64,d09GRgABAAAAABBQAAoAAAAAG…H8zVsjnmMx0GcZ2HGViNOySWEa9fvEQtW43Nm+EOO0ZIpdLbMXoVzPJkcfHT6U+gLEpz/MAAAA' because it violates the following Content Security Policy directive: "font-src 'self'". 

to moja contentSecurityPolicy obiekt na environment.js:

contentSecurityPolicy: { 
    'default-src': "'none'", 
    'script-src': "'self' 'unsafe-inline' 'unsafe-eval' connect.facebook.net", 
    'connect-src': "'self'", 
    'img-src': "'self' www.facebook.com", 
    'style-src': "'self' 'unsafe-inline'", 
    'frame-src': "s-static.ak.facebook.com static.ak.facebook.com www.facebook.com", 
    'report-uri': "http://localhost:4200" 
}, 

Czy jest coś złego ?

Answer 1

Dodaj 'font-src': "data:",, aby dodać białą czcionkę do ładowanej czcionki.

Answer 2

Spędziłem sporo czasu próbując dowiedzieć się, dlaczego zbudowana wersja mojego kodu polimerowego naruszała mój CSP w firefoxie i safari (działa w chrome) i okazuje się, że komponenty polimerowe zawierają wbudowane skrypty, które mogą powodować CSP problemy, które nie zostały rozwiązane przy użyciu nagłówków "unsafe-inline" & "unsafe-eval" dla firefox i safari, jednak jeśli dla skryptu CSP umieścimy data: pozwoli to na wstawianie skryptów wbudowanych, które są kompilowane podczas budowy polimeru do działania w twojej sieci aplikacja bez naruszania CSP. Pomyślałem, że podzielę się tutaj, ponieważ ta odpowiedź pomogła mi rozwiązać mój problem.