La ressource "blob" a été chargée, mais elle va contre la directive de Content Security Policy

Utilisation du core de Jeedom
1

Bonjour la communauté,

J’utilise Jeedom en http (je n’ai pas installé le mode https, du fait que le jeedom est connecté en filaire uniquement à mon réseau interne).

J’ai un message d’erreur : La ressource « blob » a été chargée, mais elle va contre la directive de Content Security Policy

J’ai regardé les différents post, j’ai mis en mode « unsecure », j’ai toujours le message :
La ressource « blob » a été chargée, mais elle va contre la directive de Content Security Policy :
« script-src-elem ‹ self › ‹ unsafe-inline › ‹ unsafe-eval › * »

J’ai essayé d’ajouter mon IP à différents endroit derrière la directive : script-src-elem
Pas mieux

En mode « secure » : Impossible de charger la ressource « blob », car elle va contre la directive de Content Security Policy :
« script-src-elem ‹ self › ‹ unsafe-inline › ‹ unsafe-eval › *.google.com *.google.fr »

Mon fichier security.conf :

ServerTokens Prod
ServerSignature off
TraceEnable Off

<Directory /var/www/html>
Options -Indexes -ExecCGI -FollowSymLinks
AllowOverride All
</Directory>

<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "sameorigin"
Header set X-XSS-Protection "1; mode=block"
Header unset X-Powered-By
Header set Referrer-Policy: strict-origin-when-cross-origin
Header set Permissions-Policy "accelerometer=(),battery=(),fullscreen=(self),geolocation=(),camera=(),ambient-light-sensor=(self),autoplay=(self)"
Header set Content-Security-Policy "default-src 'self' file: data: blob: filesystem:;script-src-attr 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr *.googleapis.com;script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;img-src 'self' * data:;style-src 'self' 'unsafe-inline';style-src-attr 'self' 'unsafe-inline';worker-src blob:;frame-src 'self' *.jeedom.com *.google.com *.google.fr *.googleapis.com data:;"
</IfModule>

J’avais essayé :

script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' http://192.168.1.10 *.google.com *.google.fr;img-src 'self' * data:
et également :
script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;img-src 'self' * data: http://192.168.1.10
et un combo :script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' http://192.168.1.10 *.google.com *.google.fr;img-src 'self' * data: http://192.168.1.10

Même résultat.

Pour information, j’ai testé uniquement en relançant apache (systemctl daemon-reload + restart apache2), mais également en relançant jeedom. Toujours le même message d’erreur.

Je suis preneur de toutes les idées.

Merci d’avance

2

Bonjour

Il faudrait la page santé.

3

Capture d’écran du 2025-07-18 18-54-22
Capture d’écran du 2025-07-18 18-54-222538×443 73.3 KB

Capture d’écran du 2025-07-18 18-54-54
Capture d’écran du 2025-07-18 18-54-542551×397 42.5 KB

Rien de particulier dans santé.
Ce qui est bizarre, c’est qu’en rechargeant, de temps en temps, le message n’apparaît pas pendant quelques instants/écrans. Puis je clique même sur le retour à la vue complète et là j’ai le triangle pour me signifier que j’ai un problème.

4

Je pense que déjà tu dois passer en Debian 11 (une réinstallation complète) en pensant à télécharger une sauvegarde de jeedom.

Car Debian 10 n’est plus supportée.

5

Salut,

Je ne comprends pas à quel moment tu as ce message d’erreur …

En utilisant un plugin spécifique ?
De façon toalement aléatoire ?
Sur un dashboard, sur un design … ?

Tu peux faire un screenshot ?

Car la on rentre direct dans les détails techniques sans comprendre comment se manifeste ton problème ça n’aide pas :slight_smile:

6

Capture d’écran du 2025-07-18 19-29-18
Capture d’écran du 2025-07-18 19-29-182563×124 14.3 KB

Capture d’écran du 2025-07-18 19-32-37
Capture d’écran du 2025-07-18 19-32-372548×311 23.3 KB

Capture d’écran du 2025-07-18 19-33-00
Capture d’écran du 2025-07-18 19-33-002307×233 31 KB

Pour répondre à la question : plus ou moins en permanence. Dès que je change de fenêtre.

7

C’est effectivement une option. Reste à savoir si tous les plugins sont encore compatibles : j’utilise toujours openzwave. J’avais essayé de basculer sur zwave-js, mais catastrophique ! plus rien ou presque ne fonctionnait.

8

il faut que tu soit en debian 11 pour utiliser plugin-zwavejs

9

Certes Debian 10 n’est plus supporté mais je doute que son souci vienne de la.
Perso je suis sous Debian 10 (oui ça va … chut chut c’est pas pour longtemps) et j’ai pas du tout ce genre de souci.

Le problème est apparu quand ?

J’ai l’impression que c’est un plugin qui injecte quelque chose.
Tu as quoi comme plugins ?

On est d’accord que tu ne te sers pas de la personnalisation avancée ?
Dans Réglages > Systeme > Configuration > Onglet interface

image
image778×249 9.98 KB

10

Difficile à dire quant à l’apparition. J’ai remarqué hier soir

Pas de personnalisation avancée.

Plugins :

  • Détection de téléphone (Bluetooth) - version : 2024-12-30 01:21:02
  • HorlogeHtc - version : 2025-01-15 01:22:40
  • Network - Version : 2024-01-09 01:06:03
  • Virtuel - Version : 2024-08-08 01:19:58
  • Widget - Version : 2020-05-12 14:03:11
  • Z-Wave (openzwave) - Version : 2022-02-08 01:02:53
11

Hum je commencerai par désactiver les plugins un par un pour essayer de voir si ce n’est pas l’un d’entre eux qui fout le bordel.

Je soupsonnerais particulièrement dans l’ordre :

  • HorlogeHtc
  • Détection de téléphone (Bluetooth)

Pour les autres je ne pense pas que ça vienne d’eux mais bon si ça ne donne rien sur ces deux premiers …

Tu as des plugins obsolètes :

  • openzwave remplacé par ZwaveJS
  • Widget qui n’existe plus vu que les widgets ont été intégrés au core désormais.

Il te faudra prévoir de migrer vers un OS maintenu et enlever les plugins obsolètes mais étape par étape : commençons déja par régler ce souci, ça ne sert à rien de se retrouver avec un OS tout beau et avec le même bug.

12

J’ai tout désactivé sauf ZWave. Même symptôme.

N’y a-t-il pas une option pour virer les contrôles de sécurité ?
Le « unsecure » ne marche pas, mais peut être qu’on peut avoir quelque chose d’encore moins securisé …

13

Bon, en faisant une recherche plus globale sur « blob », j’ai vu qu’on pouvait virer certain paramètres.

J’ai donc modifié la directive script-src-elem du fichier security.conf pour ajouter « blob »

script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr blob:;

à la place de

script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;

Ensuite un petit :

sudo systemctl daemon-reload

et

sudo systemctl restart apache2

Rechargement de la page (Ctrl+F5) et je n’ai plus le message d’erreur

Je suppose néanmoins que c’est moins sécurisé

14

On ne supprime pas des paramètres de sécurité sans comprendre pourquoi ils génèrent une erreur : c’est un comportement inconscient.

Si tu ne veux pas qu’on t’aide a comprendre l’origine de ton problème je ne vois pas pourquoi tu ouvres un post sur le community :man_shrugging:

15

@Aurel je n’ai pas mis résolu … justement je suis curieux pourquoi chez moi il y a le problème et que de ton côté, avec une configuration similaire, le problème n’existe pas.

Je ne vais pas désactiver le plugin zwave, pour vérifier s’il est responsable, je pense que le problème est ailleurs.
J’ai également regarder dans les fichiers de log système. Je n’ai rien qui parle de blob

La seule chose, c’est lié à Javascript (titre de la fenêtre)

D’ailleurs, je continuais de regarder. Si les premiers messages ont bien disparus, j’en ai un nouveau :

Impossible de charger la ressource "https://infird.com/cdn/b50b7f30-3efc-40a4-958b-47c84a6ef83f?uuid=040896c0-33f7-4e53-882f-43af0aa85c53", car elle va contre la directive de Content Security Policy :
"script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr blob:"

C’est lorsque j’ai dupliqué un scénario et que j’allais retravailler dessus

Capture d’écran du 2025-07-18 22-30-18
Capture d’écran du 2025-07-18 22-30-182550×731 107 KB

16

Oui enfin comment veux tu pouvoir diagnostiquer pourquoi tu as un problème si tu le masques en modifant la config sécurité ?
C’est contre productif et dangereux.

Quand je tape rien que ce site sur Google ça amène vers des résultats plutot troubles …

Bref je pense que tu as un gros problème de sécurité et tenter de le masquer en rendant les paramètres de sécurité plus souples est vraiment la dernière chose à faire.

17

J’ai peut être trouvé la source du problème : j’ai fait une recherche sur tout le répertoire /var/www/html, et pas de infird.com.

J’ai donc charger l’interface sur un autre navigateur, et là, pas de message d’erreur (j’avais supprimer blob du fichier security)

Il y a un « conflit » entre le navigateur Brave et les scripts de Jeedom.
Ta recherche Google m’a conduit à faire la même chose, et ça parle de pub et hameçonnage. Brave utilise un système de pub justement … d’où mon test sur un autre navigateur qui semble ne pas me crasher d’erreur.

Je crois que cette fois on peut considérer que c’est résolu !

Dans tous les cas, merci pour le temps passé. Je vais tout de même lancer un check de mon système

18

Heu on peut pas vraiment parler de conflit.
La j’ai l’impression que c’est ton navigateur, ou un plugin de ce dernier qui essaye d’injecter du JS dans les applications web qu’il rencontre.
Raison de plus pour le laisser bloqué car c’est un comportement de malware.

19

J’avais remis les paramètres par défaut.
La seule chose que j’ai désactivé, c’est le plugin Widget puisque tu mentionnais qu’il était maintenant intégré dans le core.

Je vais utiliser Vivaldi pour paramétrer Jeedom.

Merci encore

20

Je parle d’un plugin de ton navigateur pas d’un plugin jeedom