J'héberge un projet personnel sur des pages gitHub, et j'utilise cloudflare pour appliquer https. Maintenant, je voudrais mettre en œuvre une politique CSP.Ajout de polices google (fonts.googleapis.com) à l'en-tête CSP
J'ai essayé d'ajouter la balise meta à la tête de ma page:
<meta HTTP-EQUIV='Content-Security-Policy' CONTENT="default-src 'self' *.fonts.googleapis.com/* *.cloudflare.com/* *.fonts.googleapis.com/*;">
Mais je reçois l'erreur suivante:
Refused to load the stylesheet ' https://fonts.googleapis.com/icon?family=Material+Icons ' because it violates the following Content Security Policy directive: "default-src 'self' .fonts.googleapis.com/.cloudflare.com/ .fonts.googleapis.com/". Note that 'style-src' was not explicitly set, so 'default-src' is used as a fallback.
Ce sont les scripts que je suis notamment:
<link href="https://fonts.googleapis.com/icon?family=Material+Icons"
rel="stylesheet">
<link href="https://fonts.googleapis.com/css?family=Noto+Sans|Roboto" rel="stylesheet">
ne paramètre pas *.fonts.googleapis.com/*
autoriser tout à partir de la page?
Puisqu'il s'agit de la première fois que je configure un CSP, est-ce la bonne façon de le définir pour les pages github? Je n'ai encore trouvé aucune lecture à ce sujet.
Je rencontre cette même erreur de la part de Chrome sur une application MVC de base dotnet. –
@WilliamLohan la définissant à CONTENT = "default-src 'self" fonts.googleapis.com fonts.gstatic.com cloudflare.com; Les scripts exécutables ne fonctionneront toujours pas. –