bug: CSP - Refused to apply inline style because it violates the following Content Security Policy directive: "style-src-elem …"

説明

Content-Security-Policy = 'default-src https://cdnjs.cloudflare.com/ajax/libs; style-src-elem https://cdnjs.cloudflare.com/ajax/libs'

p-ea7bbed1.system.js:1 Refused to apply inline style because it violates the following Content Security Policy directive: "style-src-elem localhost […]". Either the 'unsafe-inline' keyword, a hash ('sha256-NBfyYgxoWTkJ9SyHWLNVIq8UkKGvsaGPAaGmNMpVMSA='), or a nonce ('nonce-...') is required to enable inline execution.

{
    $.innerHTML = n + v;
    $.setAttribute("data-styles", "");
    l.insertBefore($, o ? o.nextSibling : l.firstChild)
}

コントリビューターガイド

技術スタック

javascripttypescripthtmlcssweb components

領域

frontendsecurity

Issue 種別

bug

難度新しい貢献者にとっての実装難度です。1 は非常に小さな変更、5 は専門的な作業です。

3

推定時間経験ある貢献者が調査、実装、テスト、pull request 準備にかけるおおよその時間範囲です。

1-3 hours

活動状況Issue が今どれだけ取り組みやすいかを示します。新しい、活発、古い、ブロック中、またはメンテナー入力待ちなどです。

fresh

明確さ期待される変更、受け入れ条件、次の手順がどれだけ明確かを示します。

mostly clear

前提条件

Understanding of Content Security Policy (CSP)Familiarity with how ionicons injects styles

初心者向け度初回貢献者にどれだけ取り組みやすいかを 1-100 で推定したスコアです。

60

調査方針

Investigate the ionicons source code to find where inline styles are injected via innerHTML. Consider using a nonce or hash for style src elem, or refactor to load styles from a separate file. Look at the system.js file referenced in the issue (p ea7bbed1.system.js) and the associated loader code. Check if there are existing discussions or PRs addressing CSP compliance. The maintainers have not yet responded, so propose a fix that avoids inline styles, for example by using CSSStyleSheet or constructing stylesheets with nonce support.