nunjuncks не рендерится из-за Content-Security-Policy
Ошибка:
Uncaught Template render error: (result.html)
EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "default-src *".
Конфигурация nginx:
[..]
more_set_headers "Content-Security-Policy:
default-src * 'unsafe-eval' 'unsave-inline';
script-src 'self' 'unsafe-inline' 'unsafe-eval' 'unsafe-inline' https://cdn.raygun.io https://cdn.segment.com https://platform.instagram.com https://www.google-analytics.com https://cdn.mxpnl.com https://maxcdn.bootstrapcdn.com;
connect-src 'self' https://api.raygun.io https://api.parse.com https://api.segment.io https://api.mixpanel.com;
img-src 'self' data: https://*.amazonaws.com https://www.google-analytics.com https://*.akamaihd.net https://www.google.com https://*.licdn.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://maxcdn.bootstrapcdn.com;
font-src 'self' https://fonts.gstatic.com https://maxcdn.bootstrapcdn.com;
frame-src https://instagram.com";
[..]
Проблема:
Похоже, что Content-Security-Policy, установленный в конфигурации nginx, не применяется. Я проверил заголовки, возвращенные с сервера, и они установлены правильно (включая unsafe-inline и unsafe-eval).
Вопрос:
Помогите? или более подробно: что еще мне нужно сделать, чтобы Chrome отображал шаблоны nunjuncks?
Я ищу решение, которое работает на стороне сервера (без плагина Chrome).
1 ответ
Я пропустил
<meta http-equiv="Content-Security-Policy" content="default-src *">
в шаблоне, грррр!