Задать вопрос
@fessss
vue

Ошибка Content Security Policy?

Делаю локальную сборку проекта и все нормально работает.
Как только деплою на тестовый сервер, запросы перестают работать и падает ошибка

chunk-vendors.cfebedd7.js:63 Refused to load the script 'https://az416426.vo.msecnd.net/scripts/a/ai.0.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.


Из-за чего так и как это исправить?
  • Вопрос задан
  • 1593 просмотра
Комментировать
Подписаться 1 Сложный Комментировать
Пригласить эксперта
Ответы на вопрос 1
@granty
У вас на тестовом сервере издаётся HTTP-заголовок или метатег Content-Security-Policy (CSP) с директивой script-src 'self' 'unsafe-eval'.
Она разрешает загрузку скриптов только с собственного домена сайта ('self') и разрешает eval-выражения: eva(), Function(), setTimeout("string", 2000), и тп.

Вам надо добавить хост-источник `https://az416426.vo.msecnd.net` в script-src:
script-src 'self' 'unsafe-eval' https://az416426.vo.msecnd.net;
, это разрешит загрузку скриптов из него.

Если пока нет желания возиться с CSP - отключите её. Скорее всего это "проделки" Helmet 4. там она отключается просто:
helmet({
    contentSecurityPolicy: false,
  })

при этом остальные заголовки безопасности от Helmet продолжат работать.
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Frontend Developer (Vue/Nuxt)
tactic.team
от 140 000 до 180 000 ₽
😃 Frontend developer Vue 💻📱⌚️
Viletech Москва
от 150 000 ₽
Техлид фронтенд-разработки (React и Vue)
Студия 15
от 200 000 до 250 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
SSL/TLS Certificate pinning / Reverse engineer Android
23 нояб. 2024, в 09:59
2000 руб./в час
Перерисовать логотип в вектор
23 нояб. 2024, в 08:36
2000 руб./за проект
Необходимо доработать несколько задач
23 нояб. 2024, в 07:32
75000 руб./за проект
Ещё заказы