Jestem zdezorientowany polityką bezpieczeństwa treści Jenkins.Polityka bezpieczeństwa treści Jenkins
znam te strony:
Mam stronę HTML, pokazany poprzez Jenkins Clover Plugin. Ta strona html używa stylu wbudowanego, np .:
<div class='greenbar' style='width:58px'>
Element div wizualizuje pasek postępu. Korzystanie z domyślnej konfiguracji Jenkins CSP prowadzi do następującego wyniku: Progressbar_FAIL
Wynik chcę mieć wygląda następująco: Progressbar_WORKS
starałem się rozluźnić zasady CSP, dodając różne kombinacje parametrów (skrypt -src, style-src) na różnych poziomach (self, unsafe-inline, ..), ale nic nie działa.
więc moje pytanie teraz:
- Gdzie muszę określić konfigurację CSP?
- Czy można stosować style śródliniowe?
- Gdzie powinny znajdować się style? Moje arkusze stylów css znajdują się lokalnie na serwerze Jenkins.
- Jaki jest najlepszy sposób, aby uzyskać inline styl i zasady CSP "zadowolonych"
Aktualizacja
1. Spróbuj: -Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'
w pliku jenkins.xml. Następnie pojawia się następujący błąd:
odmówił zastosowania stylu inline, ponieważ narusza następujące Content Security Policy dyrektywę: "default-src 'ja'". Do włączenia wykonywania liniowego wymagane jest słowo kluczowe "niebezpieczne-inline", hash ('sha256-') lub nonce ("nonce -..."). Zauważ też, że "style-src" nie zostało jawnie ustawione, więc "default-src" jest używane jako zastępstwo w postaci .
2. Spróbuj -Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'; style-src 'self'
w pliku jenkins.xml. Następnie pojawia się następujący błąd:
odmówił zastosowania stylu inline, ponieważ narusza następujące Content Security Policy dyrektywę: "style-src 'ja'". Słowo kluczowe "niebezpieczne-inline", , hash ("sha256-") lub nonce ("nonce -...„) Jest wymagane, aby umożliwić inline egzekucja
Rozumiem, że ta próba nie może rozwiązać mój problem, ponieważ zawiera domyślne style-src-src
3. Spróbuj -Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'; style-src 'unsafe-inline'
w pliku jenkins.xml . Następnie pojawia się następujący błąd:
Odmówił załadować stylów P. //jenkins/andsomedir/stylesheet.css [jego https: // ... nie wolno dodawać więcej niż dwa linki :(] ponieważ narusza następującą dyrektywę Polityka Content Security. „style-src«niebezpieczne-inline»”
Możliwe jest stosowanie wbudowanych stylów lub stylów z plików znajdujących się na serwerze Jenkins. Wygląda na to, że jesteś na dobrej drodze, ale nie opublikowałeś * dokładnie * tego, co wypróbowałeś (czy używałeś konsoli skryptu ?, co wpisałeś? Do jakich wartości ustawiłeś parametr CSP?), Więc jest Trudno wskazać, co się dzieje. –
Dziękuję za odpowiedź. Zaktualizowano mój post. – Thomas