Fonts google

Local funciona.

Mas no servidor mostra este erro

Refused to load the stylesheet ‘https://fonts.googleapis.com/css?family=Roboto:300,400,500&display=swap’ because it violates the following Content Security Policy directive: “style-src ‘self’ ‘unsafe-inline’”. Note that ‘style-src-elem’ was not explicitly set, so ‘style-src’ is used as a fallback

No index.html está assim:

<link href="https://fonts.googleapis.com/css?family=Roboto:300,400,500&display=swap" rel="stylesheet">
<link href="https://fonts.googleapis.com/icon?family=Material+Icons" rel="stylesheet">

local
local
servidor

O que pode ser ?

Pelo que entendi, não funciona quando está no servidor

Quando está local funciona.

Alguém

Alguém

Aparentemente, você terá de abrir uma certa brecha para resolver esse problema. Pq não usar esses arquivos de forma local?

Até usei e resolveu.

Mas ai precisei de usar o maps google. que deu o mesmo problema. E o maps google não posso baixar local, correto ?

Deve ter algo barrando no seu web server ou em alguma configuração da sua aplicação. Pois sem alterar nada em servidor ou aplicação nunca tive esse problema. Uso por exemplo a fonte de ícones do google:

   <link rel="stylesheet" href="https://fonts.googleapis.com/icon?family=Material+Icons">

Experimenta fazer um hello world do zero, só um html puro carregando essa fonte e partir daí vai avançando. De preferência usando um servidor limpo.

O sistema é feito com jhispter

Ai já complicam a vida. Vendem como facilidade esses geradores de código, por outro lado perde o controle.

1 curtida

Dentro do public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

http.csrf().disable().addFilterBefore(corsFilter, UsernamePasswordAuthenticationFilter.class)
				.exceptionHandling().authenticationEntryPoint(problemSupport).accessDeniedHandler(problemSupport).and()
				.headers()
				.contentSecurityPolicy(
						"default-src 'self'; frame-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://storage.googleapis.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' data:")
				.and().referrerPolicy(ReferrerPolicyHeaderWriter.ReferrerPolicy.STRICT_ORIGIN_WHEN_CROSS_ORIGIN).and()
				.featurePolicy(
						"geolocation 'none'; midi 'none'; sync-xhr 'none'; microphone 'none'; camera 'none'; magnetometer 'none'; gyroscope 'none'; speaker 'none'; fullscreen 'self'; payment 'none'")
				.and().frameOptions().deny().and().sessionManagement()
				.sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().authorizeRequests()

Ai tirei esta parte e funcionou:

.contentSecurityPolicy(
						"default-src 'self'; frame-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://storage.googleapis.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' data:")
				.and()

Só que fica chamando esta parte de tempo em tempo.

http://localhost:9060/sockjs-node/info?t=1593652208370

Atrapalho a segurança ou algo parecido ?

Fiqueu na dúvida +