因为文档的框架已沙箱化并且未设置“允许脚本”权限
问题描述 投票:0回答:2
我编写了一个程序,生成带有此标头的 html 文件:
但我根本没有
iframe
当我在浏览器(托管在 Jenkins 服务器上)中打开页面时,我看不到 css。
这些是错误(安全策略)
我看过一些关于stockoverflow的帖子,说
<meta><meta http-equiv="content-type" content="text/html; charset=utf-8 ;">
<meta http-equiv="Content-Security-Policy" content="script-src 'self' http://onlineerp.solution.quebec 'unsafe-inline' 'unsafe-eval'; style-src 'self' maxcdn.bootstrapcdn.com">
但正如你在我的打印屏幕中看到的那样,这没有帮助
任何想法,我该如何解决这个问题?
2个回答
投票
您正在从 Jenkins 提供 HTML 页面,因此 Jenkins 控制响应标头,而不是您的内容。 Jenkins 最近的安全修复强加了严格的默认内容安全策略。您应该能够在响应标头中看到 Jenkins 插入的 Content-Security-Policy 标头。
一种解决方案是放宽 Jenkins 配置,请参阅配置内容安全策略 wiki 页面了解详细信息:
Jenkins发送的CSP header可以通过设置系统属性hudson.model.DirectoryBrowserSupport.CSP来修改:
如果它的值为空字符串,例如
那么标头根本不会被发送。java -Dhudson.model.DirectoryBrowserSupport.CSP= -jar jenkins.war(警告!)这可能非常不安全,只能在检查整体安全设置后使用。
您可以使用 Jenkins 脚本控制台 尝试不同的设置。要启用来自外部站点的 CSS 和图像,您可以使用类似以下内容:
System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "sandbox; default-src 'self'; img-src '*'; style-src '*' 'unsafe-inline';")
另一种解决方案是将生成的页面发布(部署)到另一台服务器上,您可以在其中控制内容安全策略。
投票
让我详细说明 Dave 的解决方案建议“另一个解决方案是在另一台服务器上发布(部署)生成的页面,您可以在其中控制内容安全策略。”
我们遇到了与OP相同的问题,并通过为同一服务器生成第二个单独的子域/DNS条目来解决它,即
www.domain.com -- original jenkins
static.domain.com -- jenkins static delivery
在 Jenkins -> 管理 -> 系统中,转到“从另一个域提供资源文件”并将“资源根 URL”设置为 static.domain.com。
现在问题确实消失了,我们可以从 Jenkins 轻松发布 HTML 报告。
最新问题
- 致命错误:特征/密集:没有这样的文件或目录
- 为什么当我更改复制的列表时,原始列表会更改
- 如何在不使用shutil.copy的情况下复制文件
- GET/fonts/….ttf 网站上出现 HTTP 404 错误
- oracle中旋转时如何添加条件?
- SymPy 中符号大小的符号数组
- 如何在没有`os.rename`或`shutil`的情况下在Python中复制文件?
- 如何防止使用 Google Calendar API 重复创建事件
- 如何将 axum-login 与 axum-typed-routing 一起使用?
- 如何将 uint16 字节从一个数组复制到 mex C++ 中的 MATLABString
- 使用 sympy 求解两个变量的不等式
- 随机森林/决策树输出概率设计:使用正输出叶子样本/总输出叶子样本
- SunEditor插入html后如何设置光标位置
- 禁用日期选择器上的过去日期
- Python 3.8 与 Protos 5.27.0 的兼容性问题
- 在另一个宏中定义宏
- 如何在Excel中找到同一行中有2个匹配字段的单元格?
- 使用 Chainlink 函数回调时遇到错误
- 未安装react-native的错误
- 哪里可以找到或下载USB Driver文件夹?