流星浏览器政策

Question

最近我从 David Weldon (https://dweldon.silvrback.com/browser-policy), which I found from this checklist made by Sacha https://meteorjs.club/MeteorSecurityChecklist.pdf

那里了解到有关 Meteor 的浏览器策略包

我也对 Iron 路由器包 (https://github.com/reywood/meteor-iron-router-ga/) 使用 Google 分析，但在尝试了许多不同的选项后我不断收到以下错误（我预计 BrowserPolicy.content.allowInlineScripts();允许这样做):

Refused to load the script 'data:application/javascript;base64,dmFyIHVyY2hpblRyYWNrZXI9ZnVuY3Rpb24oKXt9…JVcmw6ZnVuY3Rpb24obyl7cmV0dXJuIG87fSxfdHJhY2tFdmVudDpmdW5jdGlvbigpe319fX07' because it violates the following Content Security Policy directive: "script-src 'self' http://*.google-analytics.com https://*.google-analytics.com http://*.googleapis.com https://*.googleapis.com http://*.gstatic.com https://*.gstatic.com http://www.google-analytics.com https://www.google-analytics.com".

任何人都可以给我更多的见解吗？

Answer 1

有问题的 URL 是数据 URL，因此解决此问题的一种方法是将以下内容添加到您的策略中：

BrowserPolicy.content.allowDataUrlForAll()

虽然这是一个相当宽泛的规则。如果你只想将它缩小到脚本，你可以这样做：

BrowserPolicy.content.allowScriptDataUrl()

流星浏览器政策

Meteor browser policy

meteor

same-origin-policy