2014-10-26 8 views
17

W szczególności:"[Raport Only] Odmowa załadować czcionkę ..." komunikat o błędzie na konsolę

[Report Only] Refused to load the font 'data:application/x-font-woff;charset=utf-8;base64,d09GRgABAAAAABBQAAoAAAAAG…H8zVsjnmMx0GcZ2HGViNOySWEa9fvEQtW43Nm+EOO0ZIpdLbMXoVzPJkcfHT6U+gLEpz/MAAAA' because it violates the following Content Security Policy directive: "font-src 'self'". 

to moja contentSecurityPolicy obiekt na environment.js:

contentSecurityPolicy: { 
    'default-src': "'none'", 
    'script-src': "'self' 'unsafe-inline' 'unsafe-eval' connect.facebook.net", 
    'connect-src': "'self'", 
    'img-src': "'self' www.facebook.com", 
    'style-src': "'self' 'unsafe-inline'", 
    'frame-src': "s-static.ak.facebook.com static.ak.facebook.com www.facebook.com", 
    'report-uri': "http://localhost:4200" 
}, 

Czy jest coś złego ?

+0

Wiadomość jest sprzeczna z Twoją polityką, jeśli się nie mylę. Nie podano czcionki-src, co oznacza, że ​​wartość powinna przyjąć wartość default-src (w tym przypadku "none"). – oreoshake

Odpowiedz

36

Dodaj 'font-src': "data:",, aby dodać białą czcionkę do ładowanej czcionki.

+8

Użyłem '' font-src ': "' self 'data:" ' i działało dobrze, dzięki –

+2

'self-data 'danych: https://fonts.gstatic.com https: //fonts.googleapis.com/;' Zmodyfikowałem twoją podpowiedź i teraz to działa dla mnie. – Nickname

+0

np. playframework: contentSecurityPolicy = $ {play.filters.headers.contentSecurityPolicy} "font-src" self 'data: fonts.gstatic.com fonts.googleapis.com cdnjs.cloudflare.com; " –

1

Spędziłem sporo czasu próbując dowiedzieć się, dlaczego zbudowana wersja mojego kodu polimerowego naruszała mój CSP w firefoxie i safari (działa w chrome) i okazuje się, że komponenty polimerowe zawierają wbudowane skrypty, które mogą powodować CSP problemy, które nie zostały rozwiązane przy użyciu nagłówków "unsafe-inline" & "unsafe-eval" dla firefox i safari, jednak jeśli dla skryptu CSP umieścimy data: pozwoli to na wstawianie skryptów wbudowanych, które są kompilowane podczas budowy polimeru do działania w twojej sieci aplikacja bez naruszania CSP. Pomyślałem, że podzielę się tutaj, ponieważ ta odpowiedź pomogła mi rozwiązać mój problem.