Autor Zpráva
pajadvorak
Profil
#1 · Zasláno: 22. 12. 2020, 07:49:26 · Upravil/a: pajadvorak 22. 12. 2020, 17:14:42
Odpovědět Citovat
Ahoj,

při nastavení bezpečnostních hlaviček jsem narazil na problém ve Firefoxu. Chrome a Edge vše zobrazují správně.

Firefox mi nechce ukázat mapu z api.mapy.cz. Níže posílám jak mám nastavené bezpečnostní hlavičky a pod tím kód pro zobrazení mapy. Děkuji za radu. 

$nonce = base64_encode(random_bytes(16));
        header("Content-Security-Policy: "
                . "default-src 'none';"
                . "script-src 'self' 'nonce-$nonce' 'strict-dynamic' * 'unsafe-inline' https://maps.gstatic.com https://maps.googleapis.com https://api.mapy.cz;"
                . "style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://widget-v2.smartsuppcdn.com  https://api.mapy.cz;"
                . "img-src 'self' data: https://mapserver.mapy.cz https://api.mapy.cz https://www.google-analytics.com https://im9.cz https://maps.gstatic.com https://www.gstatic.com https://maps.googleapis.com https://www.smartsuppchat.com https://widget-v2.smartsuppcdn.com https://twemoji.maxcdn.com https://files.smartsuppcdn.com maps.gstatic.com *.googleapis.com *.ggpht;"
                . "form-action 'self';"
                . "base-uri 'none';"
                . "manifest-src 'none';"
                . "object-src 'none';"
                . "style-src-elem 'self' 'unsafe-inline' https://api.mapy.cz https://widget-v2.smartsuppcdn.com;"
                . "script-src-elem 'nonce-$nonce' https://api.mapy.cz https://ssl.heureka.cz https://www.smartsuppchat.com https://widget-v2.smartsuppcdn.com https://api.mapy.cz;"
                . "frame-src 'self' https://www.heureka.cz;"
                . "font-src https://fonts.googleapis.com https://fonts.gstatic.com https://api.mapy.cz;"
                . "media-src 'self' https://widget-v2.smartsuppcdn.com;"
                . "connect-src 'self' https://bootstrap.smartsuppchat.com https://widget-v2.smartsuppcdn.com wss://websocket-visitors.smartsupp.com https://widget-v1.smartsuppcdn.com https://www.google-analytics.com https://files.smartsupp.com https://maps.gstatic.com https://maps.googleapis.com;"
                . "frame-ancestors 'self' https://www.domena.cz;"
                . "");

<script nonce="<?=$nonce?>">
            function mapa() {
            window.open("http://www.mapy.cz/#st=s@sss=1@ssq=id%3Apremise%202106041@@","Mapa",'toolbar=0,location=0,scrollbars=1,width=900,height=700,resizable=0,top=20,left=20');
            }
        </SCRIPT>
        <script nonce="<?=$nonce?>" src="https://api.mapy.cz/loader.js" crossorigin="anonymous"></script>
    <script nonce="<?=$nonce?>">Loader.load()</script>
Serg
Profil
#2 · Zasláno: 22. 12. 2020, 15:39:31
Odpovědět Citovat
Na problém jsi narazil ve Firefoxu, ale mapu nechce ukázat Chrome? Trochu matoucí :D

Každopádně, zkus kouknout jestli to nepíše nějaké chyby v JS konzoli (vývojářské nástroje).
pajadvorak
Profil
#3 · Zasláno: 22. 12. 2020, 19:23:43 · Upravil/a: pajadvorak o minutu později
Odpovědět Citovat
Serg:
Opraveno, díky za upozornění.

Konzole hlásí 
Content Security Policy: Nastavení stránky zablokovalo načítání zdroje na [url=https://api.mapy.cz/config.js?key=&v=0.6479842353191367]api.mapy.cz/config.js?key=&v=0.6479842353191367[/url] („script-src“).
Časová prodleva: 2 roky

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0