"[Nur Report] Refused die Schriftart zu laden ..." Fehlermeldung auf Konsole

Question

Genauer gesagt:

[Report Only] Refused to load the font 'data:application/x-font-woff;charset=utf-8;base64,d09GRgABAAAAABBQAAoAAAAAG…H8zVsjnmMx0GcZ2HGViNOySWEa9fvEQtW43Nm+EOO0ZIpdLbMXoVzPJkcfHT6U+gLEpz/MAAAA' because it violates the following Content Security Policy directive: "font-src 'self'". 

dies mein ist contentSecurityPolicy Objekt bei environment.js:

contentSecurityPolicy: { 
    'default-src': "'none'", 
    'script-src': "'self' 'unsafe-inline' 'unsafe-eval' connect.facebook.net", 
    'connect-src': "'self'", 
    'img-src': "'self' www.facebook.com", 
    'style-src': "'self' 'unsafe-inline'", 
    'frame-src': "s-static.ak.facebook.com static.ak.facebook.com www.facebook.com", 
    'report-uri': "http://localhost:4200" 
}, 

Gibt es etwas falsch ?

Answer 1

Fügen Sie 'font-src': "data:", hinzu, um die zu ladende Schriftart auf die weiße Liste zu setzen.

Answer 2

Ich habe ziemlich viel Zeit damit verbracht, herauszufinden, warum die gebaute Version meines Polymercodes meinen CSP in Firefox und Safari verletzt (funktioniert in Chrom) und es sich herausstellt, dass Polymerkomponenten Inline-Skripte enthalten, die CSP verursachen können Probleme, die nicht gelöst werden mit 'unsafe-inline' & 'unsafe-eval' Header für Firefox und Safari, aber für Ihre Skript-CSP enthalten data: dies ermöglicht die Inline-Skripte, die während der Polymer-Build kompiliert werden, auf Ihrem Web laufen App ohne Verletzung der CSP. Dachte, ich würde hier teilen, da diese Antwort mir geholfen hat, mein Problem zu lösen.