Passer au contenu principal

Assets hébergés sur un CDN

Les assets de votre application sont hébergés sur un CDN et vous voyez le message d’avertissement suivant dans la console web du navigateur :
Cross-domain or eval script error detected, error ignored
Il s’agit d’un comportement normal du navigateur et c’est une conséquence de la Same-Origin Policy, une mesure de sécurité conçue pour protéger vos utilisateurs des attaques Cross-Site Request Forgery (CSRF). Heureusement, c’est un problème assez facile à résoudre. Tout d’abord, sur votre CDN, ajoutez un en-tête cross-origin (CORS) :
Access-Control-Allow-Origin: *
Dans votre application, assurez-vous que l’attribut crossorigin est présent dans tous vos tags JavaScript.
<script type="text/javascript" src="//cdn.example.com/bundle.js" crossorigin="anonymous">
Ou si vous utilisez un helper Rails :
<%= javascript_include_tag "application", :crossorigin => :anonymous %>

Content Security Policy (CSP)

La Content Security Policy de votre application peut empêcher la bibliothèque de suivi des erreurs d’envoyer des données à notre point d’accès https://appsignal-endpoint.net.
Content Security Policy (CSP) is an added layer of security that helps to detect and mitigate certain types of attacks, including Cross Site Scripting (XSS) and data injection attacks. These attacks are used for everything from data theft to site defacement to distribution of malware.
Assurez-vous d’ajouter https://appsignal-endpoint.net à votre en-tête Content Security Policy, le cas échéant. Avec uniquement AppSignal dans l’en-tête :
Shell
Content-Security-Policy: connect-src 'self' https://appsignal-endpoint.net
Ou, avec d’autres contenus dans l’en-tête :
Shell
Content-Security-Policy: <other_content>; connect-src 'self' https://appsignal-endpoint.net