Как настроить Content-Security-Policy, чтобы разрешить сценарии botframework в файле web.config

Я добавляю бота Direcline на свою страницу SharePoint, я создал веб-часть редактора контента и добавил в нее файл HTML, внутри файла html я использовал следующий код для вызова бота:

         window.WebChat.renderWebChat(
        {
           directLine: window.WebChat.createDirectLine({
              token: 'tokenid'
           }),

           styleOptions,
           userID:emailid  ,
           username:user  ,
           locale: 'en-US',
           userAvatarInitials: 'iniital'
        },
        document.getElementById('webchat')
     );
     document.querySelector('#webchat > *').focus();

При загрузке бота я получаю следующую ошибку консоли в chrome, и бот не работает.

Refused to connect to 'wss://directline.botframework.com/v3/directline/conversations/7BqkaBZaNQIKKjPc2VBAOw-h/stream?watermark=-&t=ew0KICAiYWxnIjogIlJTMjU2IiwNCiAgImtpZCI6ICJBT08tZXhGd2puR3lDTEJhOTgwVkxOME1tUTgiLA0KICAieDV0IjogIkFPTy1leEZ3am5HeUNMQmE5ODBWTE4wTW1ROCIsDQogICJ0eXAiOiAiSldUIg0KfQ.ew0KICAiYm90IjogIkNBU19OTFBfQm90IiwNCiAgInNpdGUiOiAiOVBrZGsxZFpfOU0iLA0KICAiY29udiI6ICI3QnFrYUJaYU5RSUtLalBjMlZCQU93LWgiLA0KICAibmJmIjogMTU3NzY4NzQ3NSwNCiAgImV4cCI6IDE1Nzc2ODc1MzUsDQogICJpc3MiOiAiaHR0cHM6Ly9kaXJlY3RsaW5lLmJvdGZyYW1ld29yay5jb20vIiwNCiAgImF1ZCI6ICJodHRwczovL2RpcmVjdGxpbmUuYm90ZnJhbWV3b3JrLmNvbS8iDQp9.PwUk4yQgpXZ_ohnTUAZzfnvG5NQTteaLvX5iDDPbC6nFrs_S7pICngcldf_R8ujPDFBQISSXNc3O7fF5ndX3Qqk8SHPl1jM2yOV0tkqxKu-C-4OvTr2sDW_k7vmGpvNQQrbiAQvVrimNydrr3a6B2coQlvNes1CdZopsi01wnanDNmXErJBkQnCQ0-yQvkSSP7PiiC8eQewUsVT6onCsvBpwWj -CoZ6TBmWZdYUcGtZRx1WkqyZwKvRbKtyqvr_S7jBfZlL51DozYBEQ4_C0bt2R2p-7MTlE6egUi9ZTSTNklVlIFBqw7_hdWR92NLsWZqWewGUb2RvapYaTpWObuA', так как это нарушает следующее из-за директивы Content Security Policy: «default-src https: data: 'unsafe-inline' 'unsafe-eval'». Обратите внимание, что «connect-src» не был задан явно, поэтому «default-src» используется как запасной вариант.

Потому что в моем файле web.config у меня есть этот заголовок CSP.

<add name="Content-Security-Policy" value="default-src https: data: 'unsafe-inline' 'unsafe-eval'" />

Когда я удаляю этот заголовок, я могу запустить бота, и он работает. но я не хочу удалять этот заголовок в моем файле web.config, я хочу явно указать этот URL-адрес botframework, чтобы он позволял боту работать.

Пожалуйста, помогите мне, как явно установить этот заголовок, чтобы разрешить выполнение необходимых сценариев для запуска бота.


content-security-policy botframework direct-line-botframework web-config sharepoint-2013
person Jegan Baskaran    schedule 30.12.2019    source источник
comment
Либо добавьте wss: к директиве default-src, либо добавьте директиву connect-src wss:+значение.   -  person sideshowbarker    schedule 30.12.2019
comment
большое спасибо за ответ, я добавил wss: внутри моего default-src, и это сработало   -  person Jegan Baskaran    schedule 30.12.2019

Ответы (1)


arrow_upward
0
arrow_downward

Спасибо за комментарий к ответу, добавив wss: проблема исправлена.

<add name="Content-Security-Policy" value="default-src https: data: wss: 'unsafe-inline' 'unsafe-eval'" />
person Jegan Baskaran    schedule 30.12.2019