如何解决为什么CSP安全标头会阻止Iphone上的Google地图?
我有这个标题吗?
header ("Content-Security-Policy:"
. "default-src 'none';"
. "script-src 'self' 'nonce- $ nonce' 'strict-dynamic' * 'unsafe-inline' https://maps.gstatic.com https://maps.googleapis.com;"
. "style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;"
. "img-src 'self' data: https://www.google-analytics.com https://im9.cz https://maps.gstatic.com https://maps.googleapis.com https: // www .smartsuppchat.com https://widget-v2.smartsuppcdn.com https://twemoji.maxcdn.com https://files.smartsuppcdn.com maps.gstatic.com * .googleapis.com * .ggpht; "
. "form-action 'self';"
. "base-uri 'none';"
. "manifest-src 'none';"
. "object-src 'none';"
. "frame-src https://www.heureka.cz;"
. "font-src https://fonts.googleapis.com https://fonts.gstatic.com;"
. "media-src 'self' https://widget-v2.smartsuppcdn.com;"
. "connect-src 'self' https://bootstrap.smartsuppchat.com https://widget-v2.smartsuppcdn.com wss: //websocket-visitors.smartsupp.com https://www.google-analytics.com https : //files.smartsupp.com https://maps.gstatic.com https://maps.googleapis.com; "
. "frame-ancestors 'self';");
然后是此javascript,我在其中加载了Google地图:
" src = "https://maps.googleapis.com/maps/api/js?key=AIzaSyDkzPP8cFmN7hV_va8mYdrQOrBlL9VVlwY&callback=initMap" async defer>
我要解决的问题是它不会在Iphone上加载地图。它可以在其他任何地方(Windows,Android)使用。开发人员工具(F12)不再显示任何错误。不幸的是,我没有苹果,iPhone也没有给我显示任何东西(当然没有开发工具)。
有人请问该怎么做?
谢谢
'nonce- $ nonce'
因此我发现iOS不支持随机数,这是一个问题。因为他不能使用它。当我放弃随机数时,它可以工作,但是在支持CSP3的浏览器中不起作用。我不知道该怎么办。根据其他讨论,应忽略此规则,而应使用另一条“不安全内联”规则,但出于某些未知原因,事实并非如此。
有人知道该怎么做吗?
解决方法
有很多旧浏览器不支持 CSP2*。您可以添加 'unsafe-inline' 作为后备。较新的浏览器将使用 'nonce-$nonce' 作为默认值。如果您使用 CSP 评估程序*来检查您的政策,他们也会因此建议您添加此内容。
参考文献:
*https://caniuse.com/contentsecuritypolicy2
*https://csp-evaluator.withgoogle.com/
,'nonce- $ nonce' 所以我发现iOS不支持nonce,这是一个问题。因为他不能用它。当我放弃 nonce 时,它可以工作,但在支持 CSP3 的浏览器中不起作用。我不知道该怎么办。根据其他讨论,这应该被忽略,应该使用另一个“不安全内联”规则,但由于某些未知原因,它不是。
-
Safari 确实支持
'nonce-value',但支持 does not support'strict-dymanic'。还有'strict-dynamic'overrides'unsafe-inline'和所有基于主机的源。
因此,当您删除'nonce-value'时,保留的'strict-dynamic'会取消'unsafe-inline'、'self'和 CSP3 兼容浏览器中的所有主机,但不会取消 Safari。
因此,您观察到的效果。删除'strict-dynamic'时必须删除'nonce-value',这些只能成对使用。 -
您的 CSP 有 lot of errors,但看起来这些应该不会影响 Google 地图的工作。
因此,请检查您的 Iphone 中的 Google Map test。可以选中'nonce-value'和'strict-dynamic'复选框并检查它们的支持情况。
如果测试正常,您只需要调整您的 CSP。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。