Fatal编程技术网
  • ruby-on-rails/
  • Ruby on rails 如何在RubyonRails中设置特定的内容安全策略

Ruby on rails 如何在RubyonRails中设置特定的内容安全策略

ruby-on-rails ckeditor

Ruby on rails 如何在RubyonRails中设置特定的内容安全策略,ruby-on-rails,ckeditor,content-security-policy,google-font-api,Ruby On Rails,Ckeditor,Content Security Policy,Google Font Api,嘿,我有一个Ror应用程序,我已经在我的应用程序globaly中设置了CSP 这是我的config/initilaizers/content\u security\u策略中的CSP文件 Rails.application.config.content_security_policy do |policy| policy.default_src :self, :https policy.font_src :self, :https, :data policy.img_src

嘿,我有一个Ror应用程序,我已经在我的应用程序globaly中设置了CSP 这是我的config/initilaizers/content\u security\u策略中的CSP文件

Rails.application.config.content_security_policy do |policy|
  policy.default_src :self, :https
  policy.font_src    :self, :https, :data
  policy.img_src     :self, :https, :data
  policy.object_src  :none
  policy.script_src  :self, :https
  policy.style_src   :self, :https
end
但是我对ckeditor和谷歌字体有一个问题

第一个谷歌字体无法加载该字体

第二个编辑器在这样的样式上有错误

ckeditor.js:94拒绝应用内联样式,因为它违反了以下内容安全策略指令:“style src'self'https:”。启用内联执行需要'unsafe inline'关键字、哈希('sha256-ZVJD2ZFSTFAFVH1Y7ECCNK0SPGUQOP/H8vzrFJIVgg90=')或nonce('nonce-…')

问题是,我是否可以仅为ckeditor CSP添加特定的不安全的内联? 这是因为我只在rails\u admin中使用这个CKEditor

为什么在我生成完整性散列后谷歌字体不会加载

谢谢