Zum Hauptinhalt springen

CDN-gehostete Assets

Die Assets Ihrer App werden auf einem CDN gehostet, und Sie sehen die folgende Warnmeldung in der Webkonsole des Browsers:
Cross-domain or eval script error detected, error ignored
Dies ist normales Browserverhalten und eine Folge der Same-Origin-Policy, einer Sicherheitsmaßnahme, die Ihre Benutzer vor Cross-Site Request Forgery (CSRF)-Angriffen schützen soll. Glücklicherweise ist dieses Problem recht einfach zu beheben. Fügen Sie zunächst auf Ihrem CDN einen Cross-Origin (CORS)-Header hinzu:
Access-Control-Allow-Origin: *
Achten Sie in Ihrer App darauf, dass das Attribut crossorigin in allen Ihren JavaScript-Tags vorhanden ist.
<script type="text/javascript" src="//cdn.example.com/bundle.js" crossorigin="anonymous">
Oder, wenn Sie einen Rails-Helper verwenden:
<%= javascript_include_tag "application", :crossorigin => :anonymous %>

Content Security Policy (CSP)

Die Content Security Policy Ihrer Anwendung kann verhindern, dass die Fehlertracking-Bibliothek Daten an unseren Endpunkt https://appsignal-endpoint.net sendet.
Content Security Policy (CSP) ist eine zusätzliche Sicherheitsebene, die dabei hilft, bestimmte Arten von Angriffen zu erkennen und abzuschwächen, darunter Cross Site Scripting (XSS) und Data-Injection-Angriffe. Diese Angriffe werden für alles eingesetzt, von Datendiebstahl über das Verunstalten von Websites bis hin zur Verbreitung von Schadsoftware.
Achten Sie darauf, https://appsignal-endpoint.net zu Ihrem Content-Security-Policy-Header hinzuzufügen, sofern vorhanden. Mit nur AppSignal im Header:
Shell
Content-Security-Policy: connect-src 'self' https://appsignal-endpoint.net
Oder mit weiterem Inhalt im Header:
Shell
Content-Security-Policy: <other_content>; connect-src 'self' https://appsignal-endpoint.net