Я смущен о политике безопасности контента Jenkins.Политика безопасности содержимого Jenkins
Я знаю, что эти сайты:
У меня есть страница HTML, показанный через Jenkins Clover Plugin. Этот HTML-страница использует встроенный стиль и т.д .:
<div class='greenbar' style='width:58px'>
Div-элемент визуализирует ProgressBar. Использование конфигурации Дженкинс CSP по умолчанию приводит к следующему результату: Progressbar_FAIL
В результате я хочу иметь следующий вид: Progressbar_WORKS
Я попытался расслабить правила CSP, добавляя различные комбинации параметров (сценарий -src, style-src) с разными уровнями (self, unsafe-inline, ..), но ничего не работает.
Так мои вопросы на данный момент:
- Где я должен указать конфигурацию CSP?
- Можно ли использовать встроенные стили?
- Где должны быть стили? Мои таблицы css-styles расположены локально на сервере Jenkins.
- Что это лучший способ, чтобы получить встроенный стиль и правила CSP "удовлетворены"
Update
1. Попытка: -Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'
в файле jenkins.xml. Тогда следующее сообщение об ошибке:
Отказался применить встроенный стиль, потому что он нарушает следующую Content директивы политики безопасности: «по умолчанию-Src„я“». Для включения встроенного выполнения требуется либо ключевое слово 'небезопасное-встроенное', либо хэш ('sha256-'), либо nonce ('nonce -...'). Также обратите внимание, что 'style-src' не был явно установлен, поэтому 'default-src' используется как резерв .
2. Try -Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'; style-src 'self'
в файле jenkins.xml. Тогда следующее сообщение об ошибке:
Отказался применить встроенный стиль, потому что он нарушает следующую Content директивы политики безопасности: «стиль-Src„я“». Либо ключевое слово 'небезопасное-встроенное', хэш ('sha256-'), либо nonce ('nonce -...«) Требуется для того, чтобы INLINE исполнения ордеров
Я понимаю, что эта попытка не может решить мою проблему, так как по умолчанию-Src включает в себя стиль-Src
3. Попробуйте -Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'; style-src 'unsafe-inline'
в файле jenkins.xml , Тогда следующее сообщение об ошибке:
Отказался загрузить таблицу стилей ей: //jenkins/andsomedir/stylesheet.css [его https: // ... не разрешается размещать более двух ссылок :(] потому что он нарушает следующее содержание директивы политики безопасности:. «стиль-Src" небезопасная-рядный»
Можно использовать встроенные стили или стили из файлов, расположенных на сервере Jenkins. Похоже, что вы на правильном пути, но вы не отправили * точно * то, что вы пробовали (вы использовали консоль сценариев? Что вы набрали? Какие значения вы установили для параметра CSP?), Так что это трудно указать, что происходит не так. –
Благодарим вас за ответ. Обновлено мое сообщение. – Thomas