CSP 설정에 문제가 있습니다. 내 페이지에 애니메이션을 구현하기 위해 snap.svg.js 라이브러리를 연결했습니다. 이 라이브러리는 제 애니메이션이 인라인 스타일을 많이 갖도록 만듭니다 (약 2000+ 내 SVG에있는 모든 사람들에게). 나는이 같은 'unsafe-inline'
을 지정하지 않으면 그래서 :
... "style-src 'unsafe-inline'; "
...
, 나는 콘솔의 위반을 많이해야합니다. 하지만 보안면에서 인라인 스타일을 허용하고 싶지는 않습니다. snap.svg.js lib 형식으로 생성 된 인라인 스타일 만 표시하려면 어떻게합니까?
내 CSP (테스트 용으로 만 보고서) : 다른 스크립트에 의해로드 된 스크립트에 대한 신뢰를 전파 할 수 CSP 3의 비표와콘텐츠 보안 정책 충돌
$csp = "Content-Security-Policy-Report-Only: "
. "default-src 'self' http://gc.kis.v2.scr.kaspersky-labs.com ; "
. "font-src 'self' https://fonts.googleapis.com https://fonts.gstatic.com data: ; "
. "script-src 'self' 'sha256-4B8QbxkufkPFIEFoveWSoiyIpMLitEc/N9oopV9wrU4=' 'sha256-KoZvlNi6WIlva5SMPsgkZKuz3pwSCUhpugmi7saPqak=' ; "
. "style-src 'self' https://fonts.googleapis.com ; "
. "img-src 'self' http://1.gravatar.com ; ";
header($csp);