বিষয়বস্তু সুরক্ষা নীতি: পৃষ্ঠার সেটিংস কোনও সংস্থান লোড করা অবরুদ্ধ করেছে

101

আমি পৃষ্ঠা লোডে ক্যাপচা ব্যবহার করছি , তবে এটি কোনও সুরক্ষার কারণে অবরুদ্ধ হচ্ছে।

আমি এই সমস্যার মুখোমুখি হয়েছি:

    সামগ্রী সুরক্ষা নীতি: পৃষ্ঠাটির সেটিংস লোডিংটিকে অবরুদ্ধ করেছে
    একটি উত্স এ
    http://www.google.com/recaptcha/api.js?onload=myCallBack&render=expected
    ("স্ক্রিপ্ট-এসআরসি http://test.com.8080 'অনিরাপদ-ইনলাইন' 'অনিরাপদ-ইভাল'")।

আমি নিম্নলিখিত জাভাস্ক্রিপ্ট এবং মেটা ট্যাগ ব্যবহার করেছি:

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">
<script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async defer></script>
javascript  jquery  content-security-policy 
শক্তি শর্মা
সূত্র
আমি যদি আপনি ছিলাম তবে জাভাস্ক্রিপ্ট না করে সার্ভার সাইড কোড দিয়ে এটি করার চেষ্টা করব। জেএস করস এবং অনুরূপ জিনিসগুলির সাথে খুব ভাল নয়। গুগলের কাছে এর জন্য বিকল্প রয়েছে ...
গোগল
javascriptএই প্রশ্নের সাথে আমি একটি ট্যাগ যুক্ত করেছি , কারণ jQuery এর সাথে প্রশ্নের কোনও যোগসূত্র নেই। এটি যে কোনও জাভাস্ক্রিপ্টকে প্রভাবিত করে। আসলে, আপনি যদি jQueryট্যাগটি পুরোপুরি মুছে ফেলেন তবে প্রশ্নটি আরও কার্যকর হবে তবে এটি করার আমার জায়গা নয়।
মানঙ্গো
4
এখন মুছে দেওয়া উত্তর সঠিক is "সামগ্রীর সুরক্ষা নীতি: পৃষ্ঠার সেটিংস ব্রাউজারে জাভাস্ক্রিপ্ট সক্ষম না করা থাকলে (যেমন NoScript দ্বারা ) অবরুদ্ধ করা না থাকলে " পৃষ্ঠার সেটিংসে কোনও উত্স লোড করা অবরুদ্ধ করা হয়েছে for সেক্ষেত্রে ত্রুটি আউটপুটটির অংশটি হতে পারে "অজানা নির্দেশিকা 'নসক্রিপ্ট-মার্কার' প্রসেস করা যায়নি"
পিটার মর্টেনসেন

উত্তর:

84

আপনি বলেছেন আপনি কেবল নিজের সাইট (স্ব) থেকে স্ক্রিপ্টগুলি লোড করতে পারবেন। এরপরে আপনি অন্য সাইট ( www.google.com ) থেকে কোনও স্ক্রিপ্ট লোড করার চেষ্টা করেছেন এবং আপনি এটি সীমাবদ্ধ রেখেছেন, আপনি পারবেন না। এটি সামগ্রীর সুরক্ষা নীতি (সিএসপি) এর পুরো বিষয় ।

আপনি আপনার প্রথম লাইনটি এতে পরিবর্তন করতে পারেন:

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://www.google.com">

অথবা, বিকল্প হিসাবে, সিএসপি সম্পর্কে আরও সন্ধান না করা পর্যন্ত এটি সম্পূর্ণরূপে লাইনটি সরিয়ে ফেলার উপযুক্ত হতে পারে। আপনার বর্তমান সিএসপি চমত্কার শিথিল যাহাই হউক না কেন (যার ফলে হয় unsafe-inline, unsafe-evalএবং একটি default-srcএর *তাই এটি সম্ভবত খুব বেশী মান যোগ করা হয় না, সৎ হতে)।

ব্যারি পোলার্ড
সূত্র
4
এটি একটি অনিরাপদ কাজ - গুগলের সিএসপি চেকার এই লাইনটিকে একাধিক গুরুতর ব্যর্থতা দেয়। (দুর্ভাগ্যক্রমে একটি ভাল সিএসপি বাস্তবায়ন তুচ্ছ নয় এবং এটি প্রতি সাইট কাস্টমাইজ করা দরকার))
ফ্রিওয়াকার
7
আমি এই মন্তব্য সঙ্গে ইস্যু নিতে। সিএসপি নিয়ে সমস্যাগুলি আসল সিএসপির কারণে। এই সমস্ত উত্তরটি তা হ'ল এবং প্রশ্নের উত্তরে এই www.google.com ডোমেনটিকে যুক্ত করুন। আমি কি একই সময় সিএসপি আরও কড়া করার পরামর্শ দিতে পারি? সম্ভবত, তবে আমি বলব যে এটি প্রশ্নের সুযোগের বাইরে। বিশেষত যেহেতু এটি ইতিমধ্যে স্পষ্ট ছিল যে ওপি সিএসপির সাথে পরিচিত ছিল না।
ব্যারি পোলার্ড
4
এখন কি সিএসপি "অনিরাপদ"? এটা তর্কযোগ্য। অনিরাপদ-ইনলাইন এবং অনিরাপদ-ইওল এবং * এর একটি ডিফল্ট উত্সকে কোনও সিএসপির উদ্দেশ্য হ'ল (তাই আমি এটি অপসারণের পরামর্শও দিয়েছি), তবে এটি মনে রাখা উচিত যে সিএসপি কখনই ব্রাউজার নিয়ন্ত্রণগুলি আলগা করতে পারে না, এমনকি এই হারানোর নীতিও হ'ল এমন কোনও পৃষ্ঠায় কিছু নিয়ন্ত্রণ যুক্ত করা হচ্ছে যার কোনও সিএসপি নেই - প্রমাণ হিসাবে এটি কোনও গুগল স্ক্রিপ্টকে ব্লক করছে! সুতরাং "অনিরাপদ" সম্ভবত কোনও দুর্দান্ত শব্দ নয়। "সার্থক হওয়ার পক্ষে খুব শিথিলতা" এটির উচ্চারণের আরও ভাল উপায়। সুতরাং হ্যাঁ এই সিএসপিটি পছন্দসই হওয়ার জন্য অনেক কিছু ছেড়ে যায় তবে Google এ এতে যুক্ত করা কোনও "অনিরাপদ কাজ নয়"।
ব্যারি পোলার্ড
4
সুস্পষ্ট বক্তব্য যে কোনও সিএসপি ("সবকিছু ঠিকঠাক ব্যতীত) সাধারণত
কোনওটির
14

আমার এএসপি.নেট কোর অ্যাঙ্গুলার প্রকল্পটি ভিজ্যুয়াল স্টুডিও 2019 সালে চলছে, কখনও কখনও ফায়ারফক্স কনসোলে আমি এই ত্রুটি বার্তাটি পাই:

বিষয়বস্তুর সুরক্ষা নীতি: পৃষ্ঠার সেটিংস ইনলাইনে কোনও সংস্থান লোড করা অবরুদ্ধ করেছে ("ডিফল্ট-এসসিআর")।

ক্রোমে ত্রুটি বার্তাটি পরিবর্তে রয়েছে:

সংস্থান লোড করতে ব্যর্থ: সার্ভার 404 () এর স্থিতি দিয়ে প্রতিক্রিয়া জানিয়েছে

আমার ক্ষেত্রে এটির সাথে আমার বিষয়বস্তু সুরক্ষা নীতিমালার কোনও যোগসূত্র ছিল না, তবে এর পরিবর্তে আমার পক্ষ থেকে টাইপস্ক্রিপ্ট ত্রুটির ফলস্বরূপ ছিল।

টাইপস্ক্রিপ্ট ত্রুটির জন্য আপনার আইডিই আউটপুট উইন্ডোটি পরীক্ষা করুন, যেমন:

> ERROR in src/app/shared/models/person.model.ts(8,20): error TS2304: Cannot find name 'bool'.
>
> i 「wdm」: Failed to compile.

দ্রষ্টব্য: যেহেতু এই ত্রুটি বার্তার জন্য এই প্রশ্নটি গুগলে প্রথম ফলাফল।

ড্যানিয়েল কংগ্রোভ
সূত্র
11

আমি একই ধরণের ত্রুটি টাইপ ছিল। প্রথমত, আমি কোডটিতে মেটা ট্যাগ যুক্ত করার চেষ্টা করেছি, তবে এটি কার্যকর হয়নি।

আমি জানতে পেরেছি যে এনজিএনএক্স ওয়েব সার্ভারে আপনার কাছে একটি সুরক্ষা সেটিংস থাকতে পারে যা বহিরাগত কোডটি চালাতে বাধা দিতে পারে:

# Security directives
server_tokens off;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'  https://ajax.googleapis.com  https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://assets.zendesk.com; font-src 'self' https://fonts.gstatic.com  https://themes.googleusercontent.com; frame-src https://player.vimeo.com https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'";

সামগ্রী-সুরক্ষা-নীতি পরীক্ষা করুন। আপনার উত্স রেফারেন্স যুক্ত করতে হতে পারে।

কাস্টিকা
সূত্র
4
মনে রাখবেন যে এটি অনিরাপদ - এই বিষয়বস্তু-সুরক্ষা পলিসি গুগলের সিএসপি মূল্যায়নকারী থেকে একটি উচ্চ তীব্রতা ব্যর্থতা পেয়েছে ।
ফ্রিওয়াকার
1

আমি এই শিরোনামটির সাথে আমার সমস্ত প্রয়োজনীয় সাইটগুলিকে অনুমতি দিতে সক্ষম হয়েছি:

header("Content-Security-Policy: default-src *; style-src 'self' 'unsafe-inline'; font-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' stackexchange.com");
রুবো 77
সূত্র
0

আমি এঙ্গুলারের যে সংস্করণটি ব্যবহার করছিলাম (v8 -> v9 থেকে) এবং টাইপস্ক্রিপ্টের সংস্করণ (3.5.3 -> সর্বশেষ থেকে) উভয়ই আপগ্রেড করে আমি এটি পেয়েছি।

স্কালা উত্সাহী
সূত্র
4
এর ব্যাখ্যা কী?
পিটার মর্টেনসেন
-10

আপনি আপনার ব্রাউজারে এগুলি অক্ষম করতে পারেন।

ফায়ারফক্স

টাইপ করুন about:configফায়ারফক্স ঠিকানা দণ্ডে এবং এটি security.csp.enableএবং এটি সেট false

ক্রোম

আপনি Disable Content-Security-Policyসিএসপি অক্ষম করার জন্য ডাকা এক্সটেনশনটি ইনস্টল করতে পারেন ।

সেন্ডন 1982
সূত্র
78
অস্থায়ী ডিবাগিং বাদ দিয়ে কখনও এটি করবেন না। এটি আপনার ব্রাউজারের একটি গুরুত্বপূর্ণ সুরক্ষা বৈশিষ্ট্য।
হ্যাকেল
4
এটি কেবলমাত্র এটি স্থানীয়ভাবে ঠিক করবে এবং এর সাথে এটি আপনার ব্রাউজারকে অনেক বেশি দুর্বল করে ফেলে।
নীল চৌধুরী
4
এই "পরামর্শ" পরীক্ষা / ডিবাগিং জন্য? যদি তা হয় তবে জনগণের অজানা সম্প্রদায়ের মধ্যে বিপজ্জনক দুর্বলতাগুলি ছড়িয়ে দেওয়ার জন্য উত্তরে এটি উল্লেখ করা উচিত। যাইহোক, @ নীলচৌধুরী যেমন বলেছিলেন, এটি আপনার সিস্টেমে এটি ঠিক করে দেবে, প্রকৃত ওয়েবসাইট দর্শকদের কী হবে?
Fr0zenFyr
12
অস্থায়ী সমাধান তবে ডিবাগিংয়ের জন্য সহায়ক (প্লাস ওয়ান)
নরেন্দ্রআর
4
@ হাক্কেল আমি এটি করব। আমি করব.
レ ッ ク
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.