Modernizr causa erros de violação da política de segurança de conteúdo (CSP)
Estou tentando usar o novoPolítica de Segurança de Conteúdo (CSP) Cabeçalhos HTTP em um site de teste. Quando uso o CSP em conjunto com o Modernizr, recebo erros de violação do CSP. Esta é a política de CSP que estou usando:
Política de segurança de conteúdo: default-src 'self'; script-src 'self' ajax.googleapis.com ajax.aspnetcdn.com; style-src 'self'; img-src 'eu'; font-src 'self'; report-uri /WebResource.axd?cspReport=true
Estes são os erros do console do navegador Chrome:
Refused to apply inline style because it violates the following Content Security Policy directive: "style-src 'self'".
Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable inline execution.
window.Modernizr.injectElementWithStyles - modernizr-2.7.2.js:134
window.Modernizr.tests.touch - modernizr-2.7.2.js:457(anonymous function)
modernizr-2.7.2.js:949(anonymous function) - modernizr-2.7.2.js:1406
Eu descobri oseguinte solução alternativa no site do Github Modernizr. No entanto, a solução alternativa foi apresentada pela primeira vez em março e, fazendo um pouco do Google-Fu, não consigo encontrar correções ou soluções alternativas para esse problema.
Eu sei que posso incluir oinseguro diretiva que pode contornar esse erro, mas isso também permite a execução de códigos não seguros e, em primeiro lugar, nega o uso do CSP. Alguém tem alguma solução?
Atualização - O que é CSP
O CSP é um cabeçalho HTTP suportado por todos os principais navegadores (Incluindo Edge) Essencialmente, é uma lista branca de conteúdo que o navegador pode usar para renderizar a página. Descubra maisaqui ou leia a documentação da Mozilla para CSPaqui eaqui.
Atualização - Ajuda em destaque CSP
O CSP está agora disponível emtodos os navegadores (Edge adicionou suporte, sim!) E é um salto gigantesco em segurança na Web. Para aqueles interessados em obter mais suporte de terceiros para o CSP, consulte estes:
Suporte Modernizr para CSPSuporte do Visual Studio para CSP. Observe que o link do navegador não funciona se você tiver o CSP ativado, pois usa JavaScript embutido.Suporte à extensão do Visual Studio Web Essentials para CSP. O Web Essentials é um complemento do Visual Studio, cujos recursos geralmente acabam na próxima versão do Visual Studio.