Il est possible que vous voyiez à quoi ressemble l’élément de script et que l’en-tête CSP peut vous aider si vous le faites déjà. Je ne veux pas utiliser ‘safe-inline’. Il existe deux versions principales de jQuery: Quelle valeur « href » dois-je utiliser pour les liens JavaScript, » « ou »javascript: La bibliothèque est disponible sur GitHub de Mattia A. Quelle est la différence entre utiliser « let » et « var » pour déclarer une variable en JavaScript?
| Nom: | jquery 3.1.1 |
| Format: | Fichier D’archive |
| Système d’exploitation: | Windows, Mac, Android, iOS |
| Licence: | Usage Personnel Seulement |
| Taille: | 20.95 MBytes |
Merci pour votre aide, mais malheureusement votre solution ne résout pas le problème que JQuery dépouille les attributs de script lors de l’exécution de la fonction DOMEval. Il est possible que vous voyiez à quoi ressemble l’élément de script et que l’en-tête CSP peut vous aider si vous le faites déjà. Comment valider une adresse e-mail en JavaScript? En effet, la bibliothèque s’occupe de faire en principe deux choses:. Sélectionner tout – Visualiser dans une fenêtre à part.
J’utilise JQuery version 3. Refused to execute inline script because it violates the following Content Security Policy directive: L’erreur est produite sur la ligne 82 du fichier principal de script jquery.
Le contenu de cette ligne est:. Serait-il possible d’une certaine manière d’informer JQuery d’utiliser ce nonce lors de l’ajout de la balise de script? Avez-vous un attribut ‘nonce’ sur la balise de script correspondant au nonce du CSP moins le préfixe » nonce- » avant de l’ajouter à la tête?
Il est possible que vous voyiez à quoi ressemble l’élément de script et que l’en-tête CSP peut vous aider si vous le faites déjà.
Brian Oui, j’ai l’attribut nonce sur la balise de script correspondant au nonce CSP. Juste mis à jour la iquery pour refléter les commentaires — Victor Gaspar 25 févr.
En fait, je voudrais dire que jquery utilise ajax pour charger le script web externe ou supprimer votre balise nonce, donc vous ne pouvez pas charger votre script avec jquery.
Inclure jQuery dans la Console JavaScript
La ligne de code source de ma question fait référence à la ligne JQuery qui enfreint la directive 3.11. Afficher tous les commentaires 7. Comme vous pouvez le voir aucun attribut ne reporter au nouvel élément avant qu’il ne soit ajouté et en tant que tel ne CSP. Je ne suis pas sûr de ce que leur raisonnement serait d’exclure des attributs de cette manière pour les balises de script en ligne peut-être une fonctionnalité de sécurité?
JQuery — EduTech Wiki
Ce qui suit devrait atteindre ce que vous voulez sans jQuery – il suffit de définir l’attribut textContent à votre code source JS. J’ai corrigé jQuery pour corriger ce problème est 3. La branche est disponible ici: Une chose qui est très étrange avec ceci est malgré l’élément étant ajouté sans attribut ‘nonce’.
Par l’apparence des choses j’ai peut-être manqué le fragment de document en train d’être ajouté MAIS cette balise de script particulière n’est jqjery exécutée, seulement celle créée dans ‘DOMEval’ qui pourrait expliquer pourquoi tout semble bien dans les éléments mais CSP n’est pas bon: Je ne pense pas que ‘.
Vous avez raison Ouroborus, merci d’avoir révisé donc il utilise ‘textContent’.
Salut Brian, merci pour votre analyse et les mesures pour reproduire le problème. Néanmoins, la solution que vous proposez ne résout pas le problème.
VictorGaspar Il est tout à fait possible que si vous évaluez le tag de script avec jQuery jquety manière quelconque, il risque de supprimer les attributs – DOMEval est appelé indirectement par de nombreuses autres fonctions internes de jQuery.
J’ai implémenté un hack qui peut mquery, mais ce n’est pas idéal pour plusieurs raisons, je pense que la solution la plus sûre serait d’éviter jQuery de créer les éléments du script et de les ajouter comme si vous y alliez un script en ligne sélecteur pour créer un tag ou un ajout, etc.
VictorGaspar J’ai fait une version patchée de jQuery qui devrait conserver les attributs nonce au moins ceux qui passent par DOMEval si vous avez utilisé mon précédent patch, je recommande de le remplacer par l’ancien qui a échoué à quelques tests et peut avoir des effets secondaires inattendus alors que celui-ci passe tous les tests, donc j’espère que ça ira bien! Espérons que cela sera promu bientôt. VictorGaspar vous êtes les bienvenus! Je serai sûr de suivre le problème et soumettre un PR s’ils sont satisfaits de ma solution.
Je mettrai également à jour la réponse une fois que la solution sera disponible afin que tous ceux qui viennent ici connaissent la version minimale de jQuery requise pour éviter jquegy problème: Afficher jqueery les commentaires 8. Ah ok vous voulez juste inclure jquery, vous avez donc besoin de redéfinir la fonction appendChild pour le désactiver avant le script jquery et après avoir supprimé votre fonction personnalisée. Merci pour votre aide, jquerj malheureusement votre solution ne résout pas le problème que JQuery dépouille les attributs de script jqueery de l’exécution de la fonction DOMEval.
JQuery 3.1.1 violation de la directive CSP
J’ai édité, en fait jquery seulement garder src et comme attribut et supprimer tous les autres — bormat 26 févr. Je reçois l’erreur suivante: Le contenu de cette ligne est: Je ne veux pas utiliser ‘safe-inline’. Y at-il un autre moyen de contourner cette erreur?
Source Partager Créé 25 févr. Actif Le plus ancien Votes. Source Partager Créé 26 févr.
