Ckeditor 内容安全策略编辑器
大家好,谢谢阅读。 我对Ckeditor有一个问题,现在我使用内容安全策略,编辑器不会像图片那样显示按钮 如果我删除这一行Ckeditor 内容安全策略编辑器,ckeditor,content-security-policy,Ckeditor,Content Security Policy,大家好,谢谢阅读。 我对Ckeditor有一个问题,现在我使用内容安全策略,编辑器不会像图片那样显示按钮 如果我删除这一行 Header always set Content-Security-Policy: "style-src 'self' www.site.com; child-src https://www.youtube.com" 干得好 现在我能做什么,你有主意吗?请帮帮我,非常感谢 通过标题发布CSP始终设置内容安全策略:…不是个好主意 此类CSP头将与任何内
Header always set Content-Security-Policy: "style-src 'self' www.site.com; child-src https://www.youtube.com"
干得好
现在我能做什么,你有主意吗?请帮帮我,非常感谢
通过
标题发布CSP始终设置内容安全策略:…
不是个好主意
始终
意味着它不仅将与状态为“200 OK”的页面一起发送,而且还将用于错误/重定向/未修改/等标题(“内容安全策略:默认src'self';”
,则您将有两个粘贴的CSP标题,其后果不可预测如果您不使用CMS,您可以发布CSP,例如通过适当index.PHP中的PHP函数(因为您使用的是AhacheWeb服务器) PS:如果您在站点中使用了CKeditor(在管理中不使用)-您需要扩展您的CSP规则以允许使用CKeditor脚本和样式 更新
根据评论判断,网站管理员在CKEditor的CSP方面遇到了困难,但没有人说是哪一个版本:4还是5
cdn.ckeditor.com
cdn:connectsrchttps://pdf-converter.cke-cs.com;
形成动作“自我”;
img src cdn.ckeditor.com;
脚本src'unsafe inline'cdn.ckeditor.com;
style src'unsafe inline'cdn.ckeditor.com;
*
SKE-4与'nonce-value'
不兼容,并且需要强制'unsafe-inline'
,因为内联脚本太多
cdn.ckeditor.com
cdn:connectsrchttps://docx-converter.cke-cs.com https://pdf-converter.cke-cs.com;
形成动作“自我”;
脚本src“不安全内联”https://cdn.ckeditor.com/ckeditor5/;
样式src“不安全内联”;
*
SKE-5脚本与'nonce-value'
兼容,因此您可以在脚本src
中摆脱'unsafe-inline'
connectsrchttps://docx-converter.cke-cs.com https://pdf-converter.cke-cs.com;
形成动作“自我”;
脚本src“self”“unsafe inline”;
样式src“不安全内联”;
PS:connect src的
https://docx-converter.cke-cs.com https://pdf-converter.cke-cs.com;
仅在“导出到PDF”和“导出到Word”时是必需的按钮被使用。我在我的项目中使用了一个简单的解决方案,在白名单编辑器的几次失败试验后,它排除了将使用富文本编辑器的CSP URL前缀
在我的例子中,它是产品管理页面。如果使用nonce,我确实喜欢这样
(function(cke) {
var _owrite = cke.dom.document.prototype.write;
cke.dom.document.prototype.write = function(src) {
src = src.replace(/<script/gmi, '<script nonce="' + nonceValue + '"');
_owrite.apply(this, [src]);
};
})(CKEDITOR);
(功能(cke){
var_owrite=cke.dom.document.prototype.write;
cke.dom.document.prototype.write=函数(src){
src=src.replace(/@Yousef Alm,没有什么比Ckeditor的CSP更简单的了,我甚至无法想象你在那里遇到了什么困难。我已经更新了我的答案并添加了Ckeditor的CSP。欢迎!