Questa domanda sembra essere correlata al link , ma non sto sviluppando un'estensione di Chrome. Sto sviluppando una normale applicazione web.
Sto cercando di integrare l'accesso a Facebook sul mio sito web, che ha una politica CSP stretta. Sto seguendo le raccomandazioni del link , dove si dice che "non sicuro" non dovrebbe essere usato. Tuttavia, se inserisco il seguente criterio CSP:
<add name="Content-Security-Policy" value="default-src 'self'; connect-src 'self'; script-src 'self' https://connect.facebook.net; img-src 'self' https://www.facebook.com; media-src 'self'; object-src 'self'; style-src 'self' 'unsafe-inline'; frame-src 'self' https://s-static.ak.facebook.com https://www.facebook.com https://www.youtube.com; "/>
quindi l'accesso a Facebook non viene visualizzato, in quanto il criterio CSP limita il codice eval non sicuro. Se lo cambio al seguente:
<add name="Content-Security-Policy" value="default-src 'self'; connect-src 'self'; script-src 'self' 'unsafe-eval' https://connect.facebook.net; img-src 'self' https://www.facebook.com; media-src 'self'; object-src 'self'; style-src 'self' 'unsafe-inline'; frame-src 'self' https://s-static.ak.facebook.com https://www.facebook.com https://www.youtube.com; "/>
allora funziona. Nota l'extra 'non sicura' nella parte script-src del CSP. Ad ogni modo, non voglio usare la condizione di "non sicurezza", in quanto ciò ridurrebbe notevolmente la sicurezza del mio sito web.
C'è un modo in cui posso usare l'accesso di Facebook (SDK), senza dover usare 'unsafe-eval' nel mio criterio CSP?