Diskuse JPW: CSP bezpečnostní hlavička blokuje google mapy na Iphone

Autor Zpráva

	Autor	Zpráva
	pajadvorak Profil	#1 · Zasláno: 22. 8. 2020, 21:45:31 Odpovědět Citovat Mám tuto hlavičku? header("Content-Security-Policy: " . "default-src 'none';" . "script-src 'self' 'nonce-$nonce' 'strict-dynamic' * 'unsafe-inline' https://maps.gstatic.com https://maps.googleapis.com;" . "style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;" . "img-src 'self' data: https://www.google-analytics.com https://im9.cz https://maps.gstatic.com https://maps.googleapis.com https://www.smartsuppchat.com https://widget-v2.smartsuppcdn.com https://twemoji.maxcdn.com https://files.smartsuppcdn.com maps.gstatic.com .googleapis.com .ggpht;" . "form-action 'self';" . "base-uri 'none';" . "manifest-src 'none';" . "object-src 'none';" . "frame-src https://www.heureka.cz;" . "font-src https://fonts.googleapis.com https://fonts.gstatic.com;" . "media-src 'self' https://widget-v2.smartsuppcdn.com;" . "connect-src 'self' https://bootstrap.smartsuppchat.com https://widget-v2.smartsuppcdn.com wss://websocket-visitors.smartsupp.com https://www.google-analytics.com https://files.smartsupp.com https://maps.gstatic.com https://maps.googleapis.com;" . "frame-ancestors 'self' https://www.elektra-dvorak.cz;"); A dále tento javascript, kde načítám google mapy: <script nonce="<?=$nonce?>" src="https://maps.googleapis.com/maps/api/js?key=AIzaSyDkzPP8cFmN7hV_va8mYdrQOrBlL9VVlwY&callback=initMap" async defer></script> Problém, který řeším je ten, že mi to mapy nenačítá na Iphone. Všude jinde to funguje (Windows, Android). Vývojářské nástroje (F12) mi nikde už nic chybného neukazuje. Bohužel nemám Apple a Iphone mi taky nic neukazuje (tam nejsou samozřejmě vývojářské nástroje). Věděl by prosím někdo co s tím? Děkuji
	pajadvorak Profil	#2 · Zasláno: 23. 8. 2020, 08:15:37 Odpovědět Citovat pajadvorak: „`'nonce-$nonce'`“ Tak jsem zjistil, že iOS nepodporuje nonce, což je problém. Protože není schopen s tím pracovat. Když dám nonce pryč, tak to funguje, ale nefunguje to v prohlížečích, které podporují CSP3. Nevím, co s tím. Dle jiných diskuzí by to mělo být ignorováno a mělo by být použito jiný pravidlo 'unsafe-inline', ale z neznámého důvodu to nejde. Věděl by někdo co s tím?
	Časová prodleva: 3 roky

pajadvorak
Profil

#1 · Zasláno: 22. 8. 2020, 21:45:31

Mám tuto hlavičku?

header("Content-Security-Policy: "
                . "default-src 'none';"
                . "script-src 'self' 'nonce-$nonce' 'strict-dynamic' * 'unsafe-inline' https://maps.gstatic.com https://maps.googleapis.com;"
                . "style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;"
                . "img-src 'self' data: https://www.google-analytics.com https://im9.cz https://maps.gstatic.com https://maps.googleapis.com https://www.smartsuppchat.com https://widget-v2.smartsuppcdn.com https://twemoji.maxcdn.com https://files.smartsuppcdn.com maps.gstatic.com *.googleapis.com *.ggpht;"
                . "form-action 'self';"
                . "base-uri 'none';"
                . "manifest-src 'none';"
                . "object-src 'none';"
                . "frame-src https://www.heureka.cz;"
                . "font-src https://fonts.googleapis.com https://fonts.gstatic.com;"
                . "media-src 'self' https://widget-v2.smartsuppcdn.com;"
                . "connect-src 'self' https://bootstrap.smartsuppchat.com https://widget-v2.smartsuppcdn.com wss://websocket-visitors.smartsupp.com https://www.google-analytics.com https://files.smartsupp.com https://maps.gstatic.com https://maps.googleapis.com;"
                . "frame-ancestors 'self' https://www.elektra-dvorak.cz;");

A dále tento javascript, kde načítám google mapy:

<script nonce="<?=$nonce?>" src="https://maps.googleapis.com/maps/api/js?key=AIzaSyDkzPP8cFmN7hV_va8mYdrQOrBlL9VVlwY&callback=initMap" async defer></script>

Problém, který řeším je ten, že mi to mapy nenačítá na Iphone. Všude jinde to funguje (Windows, Android). Vývojářské nástroje (F12) mi nikde už nic chybného neukazuje. Bohužel nemám Apple a Iphone mi taky nic neukazuje (tam nejsou samozřejmě vývojářské nástroje).

Věděl by prosím někdo co s tím?

Děkuji

pajadvorak
Profil

#2 · Zasláno: 23. 8. 2020, 08:15:37

Odpovědět Citovat

pajadvorak:
„'nonce-$nonce'“
Tak jsem zjistil, že iOS nepodporuje nonce, což je problém. Protože není schopen s tím pracovat. Když dám nonce pryč, tak to funguje, ale nefunguje to v prohlížečích, které podporují CSP3. Nevím, co s tím. Dle jiných diskuzí by to mělo být ignorováno a mělo by být použito jiný pravidlo 'unsafe-inline', ale z neznámého důvodu to nejde.

Věděl by někdo co s tím?

Časová prodleva: 3 roky

Vaše odpověď

Mohlo by se hodit