Ошибка Content Security Policy?

Question

[fessss]

Делаю локальную сборку проекта и все нормально работает.
Как только деплою на тестовый сервер, запросы перестают работать и падает ошибка

chunk-vendors.cfebedd7.js:63 Refused to load the script 'https://az416426.vo.msecnd.net/scripts/a/ai.0.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.

Из-за чего так и как это исправить?

Answer 1

[granty]

У вас на тестовом сервере издаётся HTTP-заголовок или метатег Content-Security-Policy (CSP) с директивой script-src 'self' 'unsafe-eval'.
Она разрешает загрузку скриптов только с собственного домена сайта ('self') и разрешает eval-выражения: eva(), Function(), setTimeout("string", 2000), и тп.

Вам надо добавить хост-источник `https://az416426.vo.msecnd.net` в script-src:

script-src 'self' 'unsafe-eval' https://az416426.vo.msecnd.net;

, это разрешит загрузку скриптов из него.

Если пока нет желания возиться с CSP - отключите её. Скорее всего это "проделки" Helmet 4. там она отключается просто:

helmet({
    contentSecurityPolicy: false,
  })

при этом остальные заголовки безопасности от Helmet продолжат работать.

Comments

[fessss]

granty

Вам надо добавить хост-источник `https://az416426.vo.msecnd.net` в script-src:

это делается на беке, верно?

[granty]

fessss, Да, на back-end. Конфиг Herlmet находится там.