Erreur de politique de sécurité du contenu (CSP) dans la console
Table des matières
Que signifie Content Security Policy (CSP) ?
Les sites Web peuvent mettre en place une politique de sécurité du contenu (CSP) soit en définissant l'en-tête de réponse HTTP Content-Security-Policy, soit en utilisant une balise méta avec l'attribut http-equiv="Content-Security-Policy" dans le HTML.
Au lieu de faire automatiquement confiance à tous les contenus provenant du serveur, la CSP détermine quelles sources sont considérées comme sûres. Le navigateur n'exécute alors que les scripts, styles ou autres ressources qui proviennent de ces sources de confiance.
Comment reconnaître l'erreur
Tu dois adapter ton CSP pour utiliser Varify.io si :
- a) tu vois une erreur comme celle-ci dans la console de ton navigateur
- Cette page utilise des fonctions de sécurité qui sont incompatibles avec l'éditeur varify.io.
- b) tu vois une erreur comme celle-ci dans Google Developer Tools :
- Refusé d'exécuter editor.varify.io parce qu'il viole la directive suivante de la politique de sécurité du contenu...
- tu vois une erreur comme celle-ci
- La politique de sécurité du contenu de votre site bloque l'utilisation de 'eval' dans JavaScript.
Voici comment corriger l'erreur
Si ton site web utilise une politique de sécurité du contenu (CSP), veuillez saisir les valeurs suivantes :
https://app.varify.io
https://editor.varify.io
https://ip.varify.dev
De plus, tu as besoin de la valeur unsafe-eval dans la directive script-src.
Pour que le Responsive Device Switcher fonctionne, ton domaine doit également être indiqué dans les directives frame-ancestors et frame-src.
Exemple d'une CSP adaptée :
Content-Security-Policy: frame-ancestors {YOUR_DOMAIN}; frame-src {YOUR_DOMAIN}; script-src 'unsafe-eval' https://app.varify.io https://editor.varify.io; connect-src https://ip.varify.dev
Remarque : l'entrée unsafe-eval est nécessaire pour que le JavaScript personnalisé puisse être exécuté au sein des variations.