Widget MAP Google Bloqué CSP

Mikael · Mars 16, 2022, 12:37

Hello

Je viens de remarqué que sur les images ISO de jeedom en 4.2.X avec des Prod ( RPI 4 8G ) et une VM sa bloque
Le widget :

<div style=width:240px;height:180px;" classe="cmd #history# tooltips cmd cmd-widget" data-type="info" data-subtype="numeric" data-cmd-id="#id#" title="#collectDate#">
	<center>
        <iframe src="https://maps.google.com/maps?hl=fr&ie=utf8&output=embed&q=#state#" width="240" height="180" frameborder="0" style="border:0"></iframe>    
  </center>
</div>

Par contre mon 1er Jeedom , avec une Install en Debian + jeedom en ligne de commande SSH , pas de souci .

En image sur mon 1er Jeedom
222222

Sur ma VM et RPI ( iso jeedom )
1111111

En mode développeur avec chrome :

Content Security Policy of your site blocks some resources

Some resources are blocked because their origin is not listed in your site’s Content Security Policy (CSP). Your site’s CSP is allowlist-based, so resources must be listed in the allowlist in order to be accessed.

A site’s Content Security Policy is set either as via an HTTP header (recommended), or via a meta HTML tag.

To fix this issue do one of the following:
* (Recommended) If you're using an allowlist for `'script-src'`, consider switching from an allowlist CSP to a strict CSP, because strict CSPs are more robust against XSS . See how to set a strict CSP .
* Or carefully check that all of the blocked resources are trustworthy; if they are, include their sources in the CSP of your site. ⚠️Never add a source you don't trust to your site's CSP. If you don't trust the source, consider hosting resources on your own site instead.
RESSOURCES AFFECTÉES
1. 1 directive

  1. |Ressource|État|Instruction|Emplacement de la source|
| — | — | — | — |
|https://maps.google.com|bloqué|frame-src|:82/3rdparty/jquery/jquery.min.js:2|

En savoir plus : Content Security Policy - Listes d’autorisation de sources

Salvialf · Mars 16, 2022, 12:40

Salut,

Oui cela a été expliqué à de multiples reprises : dorénavant les iframes faisant référence à un contenu externe à Jeedom sont interdites par souci de sécurité.

Mikael · Mars 16, 2022, 12:57

Re,

Ok j’ai rien trouvé de précis sur le forum

Du coup quel sont les solutions alternative pour résoudre le souci ?
Car si je me trompe pas , la solution serait de touché au fichier

a2enmod headers

Et de modifier son en-tête ?

Salvialf · Mars 16, 2022, 12:59

La solution alternative NON RECOMMANDEE est de désactiver la sécurité apache depuis l’administration système en cliquant sur « Apache non sécurisé »:

Mikael · Mars 16, 2022, 1:02

Ouais , pas conseillé effectivement

Bon du coup , tu vas devoir crée un widget pour une carte map du coup ( je plaisante )

system · Mars 17, 2022, 1:02

Ce sujet a été automatiquement fermé après 24 heures suivant le dernier commentaire. Aucune réponse n’est permise dorénavant.