@fessss

Ошибка Content Security Policy?

Делаю локальную сборку проекта и все нормально работает.
Как только деплою на тестовый сервер, запросы перестают работать и падает ошибка

chunk-vendors.cfebedd7.js:63 Refused to load the script 'https://az416426.vo.msecnd.net/scripts/a/ai.0.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.


Из-за чего так и как это исправить?
  • Вопрос задан
  • 41 просмотр
Пригласить эксперта
Ответы на вопрос 1
@granty
У вас на тестовом сервере издаётся HTTP-заголовок или метатег Content-Security-Policy (CSP) с директивой script-src 'self' 'unsafe-eval'.
Она разрешает загрузку скриптов только с собственного домена сайта ('self') и разрешает eval-выражения: eva(), Function(), setTimeout("string", 2000), и тп.

Вам надо добавить хост-источник `https://az416426.vo.msecnd.net` в script-src:
script-src 'self' 'unsafe-eval' https://az416426.vo.msecnd.net;
, это разрешит загрузку скриптов из него.

Если пока нет желания возиться с CSP - отключите её. Скорее всего это "проделки" Helmet 4. там она отключается просто:
helmet({
    contentSecurityPolicy: false,
  })

при этом остальные заголовки безопасности от Helmet продолжат работать.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы