Django-csp -- Почему я получаю ошибку нарушения CSP, даже если установлен nonce?

Я получаю ошибку в моем браузере как

Отказано в выполнении inline-сценария, поскольку он нарушает следующую директиву политики безопасности содержимого: "script-src-elem 'self' 'self' https://cdn.jsdelivr.net/". Для разрешения выполнения inline требуется либо ключевое слово 'unsafe-inline', либо хэш ('sha256-lcRjLlr3aCdbAn5uZatA01Jri58xjpKG86fd61W4h9Y='), либо nonce ('nonce-...').

Я использую django-csp для настройки политики безопасности содержимого. В моем settings.py я включил следующее.
MIDDLEWARE = [
    # added middleware
    'csp.middleware.CSPMiddleware',
    ...
]

CSP_DEFAULT_SRC = ["'self'", ]
CSP_INCLUDE_NONCE_IN = ['script-src']
Я записал JavaScript как -
<script nonce="{{ request.csp_nonce }}">
    do_something()
</script>
Пожалуйста, помогите мне решить эту проблему.
Вы включили только script-src, но не script-src-elem

settings.py будет:
CSP_INCLUDE_NONCE_IN = [
    'script-src',
    'script-src-elem'
]
Вернуться на верх

Последние вопросы и ответы

Research survey: Evaluating Code First vs Database First in different ORMs

Почему выдает ошибку в django model?

Django DRF JWT Authentication credentials were not provided on UpdateAPIView even for is_staff user

What does _db used for in a django Model Manager

Gunicorn (Uvicorn Worker) continues processing requests after Heroku 30s timeout

Correct implementation of Wright–Malécot inbreeding coefficient using shortest paths (Python/Django)

Existing Django project on Pythonanywhere refuses to correctly use static? [closed]

Does using Django model choices for search filters add server load on every page request?

Change color for StackedInline?

How to do nested inlines in Django?

Django-csp -- Почему я получаю ошибку нарушения CSP, даже если установлен nonce?

Последние вопросы и ответы

Рекомендуемые записи по теме