表现描述:
jenkins版本2.2,运行测试生成测试报告后,在网页上查看时,ie显示正常,firefox和chrome显示一片空白
如图:
Content Security Policy: 不能处理未知的指令“sandbox” <未知>
Content Security Policy: 页面设置阻止读取位于 http://192.168.57.192/jenkins-2.2/job/test/HTML_Report/suites.html的一项资源("default-src 'none'")。 <未知>
Content Security Policy: 页面设置阻止读取位于 http://192.168.57.192/jenkins-2.2/job/test/HTML_Report/overview.html的一项资源("default-src 'none'")。
原因
Jenkins 1.641/1.625.3 在静态文件头中引入了Content-Security-Policy,在jenkins中具体为DirectoryBrowserSupport,它为保护jenkins的html/js,用户目录以及文档等,设置了非常严格的权限保护.(译自jenkins官网)
默认的设设置为
sandbox; default-src 'none'; img-src 'self'; style-src 'self';
这规则如下:
不允许JavaScript
不允许插件(对象/嵌入)
没有内联CSS或CSS允许从其他网站
不允许从其他网站图片
不允许框架
不允许web字体
不允许XHR / AJAX等。
放松规则:
方法一:用java启动jenkins.war的可以在启动命令中加参数 -Dhudson.model.DirectoryBrowserSupport.CSP=
如: java -Dhudson.model.DirectoryBrowserSupport.CSP="sandbox; default-src 'unsafe-inline';" -jar jenkins.war
方法二:可以在jenkins的Jenkins Script Console(脚本命令行)里设置方法如下:
在系统管理->脚本命令行,在里面输入System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "script-src 'unsafe-inline'"), 点击运行
设置后,再去刷新http report页面,测试报告显示正常.
常用的设置
设置一个自定义:
System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "sandbox; default-src 'self';")
清除自定义:
System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "")
恢复默认设置:
System.clearProperty("hudson.model.DirectoryBrowserSupport.CSP")
查看当前设置:
System.getProperty("hudson.model.DirectoryBrowserSupport.CSP")
Jenkins CSP参考文档: https://wiki.jenkins-ci.org/display/JENKINS/Configuring+Content+Security+Policy
CSP参考文档: http://content-security-policy.com/
