«Метатег Content-Security-Policy не найден». ошибка в моем приложении для телефонной связи

После обновления Cordova 5.0 в моей системе я создаю новые приложения. Когда я тестировал свое приложение на устройстве, в этот раз я получаю ошибку в журнале консоли:

No Content-Security-Policy meta tag found.
Please add one when using the Cordova-plugin-whitelist plugin.: 23.

Я добавляю мета в заголовок

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src: 'self' 'unsafe-inline' 'unsafe-eval'>

Но опять же, у меня та же ошибка, в приложении я использую плагин для браузера и 7 других ссылок на веб-сайты.

После добавления cordova-plugin-whitelist вы должны указать своему приложению разрешить доступ ко всем ссылкам веб-страниц или определенным ссылкам, если вы хотите, чтобы они были конкретными.

Вы можете просто добавить это в свой config.xml , который находится в корневом каталоге вашего приложения:

Рекомендуется в документации:

<allow-navigation href="http://example.com/*" />

или:

<allow-navigation href="http://*/*" />

Из документации плагина:

Белый список навигации

Управляет тем, к каким URL-адресам можно перейти непосредственно в WebView. Применимо только к навигации верхнего уровня.

Причуды: на Android это также относится к iframe для схем, отличных от http (s).

По умолчанию разрешен переход только к URL-адресам file: //. Чтобы разрешить другие URL-адреса, вы должны добавить теги в свой config.xml:

<!-- Allow links to example.com -->
<allow-navigation href="http://example.com/*" />

<!-- Wildcards are allowed for the protocol, as a prefix
     to the host, or as a suffix to the path -->
<allow-navigation href="*://*.example.com/*" />

<!-- A wildcard can be used to whitelist the entire network,
     over HTTP and HTTPS.
     *NOT RECOMMENDED* -->
<allow-navigation href="*" />

<!-- The above is equivalent to these three declarations -->
<allow-navigation href="http://*/*" />
<allow-navigation href="https://*/*" />
<allow-navigation href="data:*" />

Вам нужно добавить метатег CSP в раздел заголовка вашего приложения index.html

Согласно https://github.com/apache/cordova-plugin-whitelist#content-security-policy

Политика безопасности контента

Управляет тем, какие сетевые запросы (изображения, XHR и т. Д.) Разрешены (напрямую через веб-просмотр).

На Android и iOS белый список сетевых запросов (см. Выше) не может фильтровать все типы запросов (например, <video>& WebSockets не блокируются). Таким образом, в дополнение к белому списку вы должны использовать тег политики безопасности контента <meta> на всех своих страницах.

На Android поддержка CSP в системном веб-просмотре начинается с KitKat (но доступна во всех версиях, использующих Crosswalk WebView).

Вот несколько примеров объявлений CSP для ваших .htmlстраниц:

<!-- Good default declaration:
    * gap: is required only on iOS (when using UIWebView) and is needed for JS->native communication
    * https://ssl.gstatic.com is required only on Android and is needed for TalkBack to function properly
    * Disables use of eval() and inline scripts in order to mitigate risk of XSS vulnerabilities. To change this:
        * Enable inline JS: add 'unsafe-inline' to default-src
        * Enable eval(): add 'unsafe-eval' to default-src
-->
<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com; style-src 'self' 'unsafe-inline'; media-src *">

<!-- Allow requests to foo.com -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self' foo.com">

<!-- Enable all requests, inline styles, and eval() -->
<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">

<!-- Allow XHRs via https only -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self' https:">

<!-- Allow iframe to https://cordova.apache.org/ -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; frame-src 'self' https://cordova.apache.org">

В вашем метатеге есть ошибки.

Ваш:

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src: 'self' 'unsafe-inline' 'unsafe-eval'>

Исправлено:

<meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'"/>

Обратите внимание на двоеточие после "script-src" и двойные кавычки в конце метатега.

Для меня было достаточно переустановить плагин белого списка :

cordova plugin remove cordova-plugin-whitelist

а потом

cordova plugin add cordova-plugin-whitelist

Похоже, что обновление с предыдущих версий Кордовы не удалось.

Для меня проблема заключалась в том, что я использовал устаревшие версии платформ cordova android и ios . Итак, обновление до android@5.1.1 и ios@4.0.1 решило эту проблему.

Вы можете перейти на эти конкретные версии:

cordova platforms rm android
cordova platforms add android@5.1.1
cordova platforms rm ios
cordova platforms add ios@4.0.1

Есть еще одна проблема с подключением. Некоторые версии Android могут подключаться, а некоторые нет. Так что есть другое решение

в AndroidManifest.xml:

<application ... android:usesCleartextTraffic="true">
        ...
    </application>

Просто добавьте android: usesCleartextTraffic = "true" '

и проблема наконец решена.