search

fi-ksi / web-frontend

Frontend for web written in Embej.JS
https://ksi.fi.muni.cz/
MIT License
2 stars 2 forks source link

Otevření text editor dialogu způsobí CSP violation #409

Open BorysekOndrej opened 3 years ago

BorysekOndrej commented 3 years ago

image

BorysekOndrej commented 3 years ago

Zkoušel jsem to dneska trochu dohledat - problém je, že v pro script / script-src-elem nemáme unsafe-inline. Mít ho by ale byl bezpečností problém.

https://www.tiny.cloud/docs/advanced/security/#configuringcontentsecuritypolicycspfortinymce

Jsem mírně rozhozený z toho, proč se script-src-elem vstahuje na inline styly. image https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src-elem

image image

Včera jsem zkoušel updatovat tynimce editor, to byl těžký fail, nové verze už se ani neotevřou s našimi aktuálními nastavením. Bylo by třeba upravit, jak ho máme integrované.

Tohle bude Won't fix do doby, než se bude dělat update balíčků, nebo celého webu.