Ionicframework

Senateur Josias
Javascript

je rencontre des soucis avec le plugin whitelist de cordova.
En effet mon appli mobile charge les infos dans la bd de mon site en ligne. J'utilise également des API externes telleques Facebook connect, Google Maps.
le soucis c'est que toutes ces adresses sont bloquées et j'arrive pas à trouver la solution. j'ai même utilisé cette directive meta

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self'  maps.google.com  'unsafe-inline' 'unsafe-eval'">

mais toujours rien

3 réponses

Senateur Josias
Auteur
Réponse acceptée

J'ai en partie resolu mon probleme en mettant ceci

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src *  'unsafe-inline'; script-src * 'unsafe-inline' 'unsafe-eval'">

je ne sais pas si c'est correcte mais mon appli marche

Grafikart

Tu tape ces apis via de l'ajax ? Avec quelle librairie ?

egranty

La politique script-src * 'unsafe-inline' 'unsafe-eval' de Qc est trop ouverte. Il autorise les scripts en ligne et les scripts de n'importe quelle source, c'est-à-dire qu'il ne protège pas contre XSS. Doit autoriser les sources spécifiques à l'hôte, pour Google Maps.
Un moyen simple de configurer CSP pour la première fois consiste à examiner les erreurs dans la console du navigateur (de préférence dans Chrome) et à ajouter des sources bloquées aux directives dans lesquelles elles sont bloquées.

Si possible, évitez 'unsafe-inline' et 'unsafe-eval' dans les scripts, cela réduit considérablement la protection CSP. default-src * trop devrait être évité puisque toutes les directives de secours non spécifiées seront ouvertes.