Možná chyba nastavení HTTP security headers #704
Description
Docela intenzivně používáme integrační rozhraní platební brány pro testování nákupního flow v naší aplikaci. Při platbě skrze Google Pay a zobrazení okna pro 3-D Secure ověření se nám ale do konzole vrací následující chyby:
Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'nonce-i1vStAIBT+mbXH+LQQRFB5pX/p7d4P+HTrwjNeb5BV/aLjDHT5gWfj0KmbHsINrLRpL0zH+M7E+X8tmemCrIeMDCWWBr62yPMalfYYjaoDVwOBYk0pniADIPqpASsqqLIdh7gzs4Zi0FYk4MNFSyDkKU/ikmoNwDM9QVQOmOZdI='". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable inline execution. Note that hashes do not apply to event handlers, style attributes and javascript: navigations unless the 'unsafe-hashes' keyword is present.
[Violation] Potential permissions policy violation: payment is not allowed in this document.
Nejsem si jistý, jestli na naší straně neděláme něco špatně. Ale připadá mi, že máte možná špatně nastavené HTTP security headery Content-Security-Policy a případně i Permissions-Policy. Nejspíš v tom iframe, kde je zobrazeno 3-D Secure ověření. Můžete to prosím prověřit popř. opravit? Řešíme mnoho selhaných plateb zákazníků právě při použití Google Paye a tyto chyby, byť z integračního prostředí, nás poněkud zneklidňují a vytvářejí neurčité závěry z testování.