CSP pour affichage carte OSM Leaflet
Bonjour à vous.
J'utilise Leaflet en local (téléchargé et utilisé sans CDN) pour afficher une carte OSM.
Cela fonctionne bien en local mais en prod... pas du tout.
Les messages d'erreur dans la console firefox st:
J'ai installé nelmio security bundle et définis ma CSP dans config/packages/nalmio_security.yaml comme suit:Content-Security-Policy : Les paramètres de la page ont empêché le chargement d’une ressource à data:image/svg+xml,%3csvg xmlns='http://… (« default-src »). contact
Content-Security-Policy : Les paramètres de la page ont empêché le chargement d’une ressource à https://tile.openstreetmap.org/13/2576/3670.png (« default-src »). TileLayer.js:169:18
Content-Security-Policy : Les paramètres de la page ont empêché le chargement d’une ressource à https://tile.openstreetmap.org/13/2577/3670.png (« default-src »). TileLayer.js:169:18
Content-Security-Policy : Les paramètres de la page ont empêché le chargement d’une ressource à https://tile.openstreetmap.org/13/2576/3671.png (« default-src »). TileLayer.js:169:18
Content-Security-Policy : Les paramètres de la page ont empêché le chargement d’une ressource à https://tile.openstreetmap.org/13/2577/3671.png (« default-src »). TileLayer.js:169:18
Content-Security-Policy : Les paramètres de la page ont empêché le chargement d’une ressource à data:image/svg+xml,%3csvg xmlns='http://… (« default-src »). page-style.js:731:36
Impossible de récupérer la source d’origine : request failed with status 404
URL de la source : https://sambano.freeboxos.fr/assets/src/dom/DomEvent.js
mais le résultat est toujours le meme.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56nelmio_security: # prevents framing of the entire site clickjacking: paths: '^/.*': DENY # disables content type sniffing for script resources content_type: nosniff: true # forces Microsoft's XSS-Protection with # its block mode xss_protection: enabled: true mode_block: true # Send a full URL in the `Referer` header when performing a same-origin request, # only send the origin of the document to secure destination (HTTPS->HTTPS), # and send no header to a less secure destination (HTTPS->HTTP). # If `strict-origin-when-cross-origin` is not supported, use `no-referrer` policy, # no referrer information is sent along with requests. referrer_policy: enabled: true policies: - 'no-referrer' - 'strict-origin-when-cross-origin' csp: # report_uri: /nelmio/csp/report enabled: true report_logger_service: logger hosts: [] content_types: [] enforce: level1_fallback: true browser_adaptive: enabled: false # report-uri: '%router.request_context.base_url%/nelmio/csp/report' default-src: - 'self' #- 'https://*.tile.openstreetmap.fr' - 'https://tile.openstreetmap.org' - 'unsafe-inline' script-src: - 'self' - 'unsafe-inline' style-src: - 'self' - 'unsafe-inline' img-src: - 'self' - 'https://tile.openstreetmap.org' # - 'https://a.tile.openstreetmap.fr' # - 'https://b.tile.openstreetmap.fr' # - 'https://c.tile.openstreetmap.fr' - 'data:' - 'unsafe-inline'
Je n'ai pas de CSP au niveau serveur que ce soit dans la conf d'apache ou au niveau du .htaccess.
les 6 CSP dans la console firefox sont des erreurs
et le dernier message est un warning que je ne comprends pas non plus car: "https://sambano.freeboxos.fr/assets/src/dom/DomEvent.js" n'existe pas.
Je ne sais pas quoi faire. Si vous avez des soluces a tester ou a proposer.
L'adresse ou le probleme est visible: https://sambano.freeboxos.fr/categor...videos/contact.
En vous remerciant,
grub
Répondre avec citation
Partager