Как разрешить inline-style в Content-Security-Policy?

Question

[Салават Ситдиков]

В общем есть такая проблема, подготовили CSP, но возникла проблема - не получается разрешить inline-style в тегах.
Прописали уже и nonce-*, разрешили для style-src ... 'unsafe-inline' ... - но все равно не разрешает.

Refused to apply inline style because it violates the following Content Security Policy directive: "style-src 'self' 'unsafe-inline' 'nonce-BLABLABLAH'

Кто-нибудь сталкивался с подобным?

Comments

[pansa]

Покажите весь код, который блокируется.

[pansa]

да, и все ваши директивы csp

[Салават Ситдиков]

pansa:

add_header Content-Security-Policy
"default-src 'self' data: *.adfox.ru *.edgefonts.net mc.yandex.ru www.youtube.com yastatic.net www.google-analytics.com;img-src 'self' unsafe-inline data: informer.yandex.ru stats.g.doubleclick.net   www.google-analytics.com counter.yadro.ru mc.yandex.ru;script-src 'self' unsafe-inline unsafe-eval 'nonce-Xiojd98a8jd3s9kFiDi29UijwdX' *.edgefonts.net www.google-analytics.com mc.yandex.rustats.g.doubleclick.net;style-src 'self' unsafe-inline  'nonce-Xiojd98a8jd3s9kFiDi29UijwdX' *.edgefonts.net;";

<div nonce="Xiojd98a8jd3s9kFiDi29UijwdX" class="sidebox-weather" style="width: 100%;background-image: url('//openweathermap.org/img/w/{{ weather.icon }}.png');">
                <span>Казань</span> <span class="temp">{{ weather.temp }} &deg;C</span>
            </div>

Пока все переделали на data-* и js-ом применяем стили. Но хотелось бы все-таки для некоторых элементов разрешить style="".

[pansa]

по-моему нельзя использовать одновременно unsafe-inline и nonce\hash. Попробуйте.

[pansa]

Ой, а почему у вас nonce указан в ? Не так, надо стиль вынести в тэг

[pansa]

...в тэг style в котором указать nonce=... и его подключать в коде.

[Салават Ситдиков]

pansa: так это не интересно. Нужно именно внутри тегов разрешить. Если брать

[pansa]

Салават Ситдиков: А, ну прямо внутри тэга параметром style="..." задать стиль не получится, то же самое с js-хендлерами. Это требование CSP - всё должно быть вынесено в отдельные файлы, либо в отдельные тэги script / style. Либо включать unsafe-inline , но тогда резко снижается профит от CSP

[Салават Ситдиков]

pansa: ну unsafe-inline включен. Я понимаю, что это должно быть - но есть сторонние включения (например, баннерка), в которой такие вещи явно прописаны в тегах.