(注:このブログはもう更新していません)この日記は私的なものであり所属会社の見解とは無関係です。 GitHub: takahashikzn

[クラウド帳票エンジンDocurain]

Jenkins 1.641 / Jenkins 1.625.3 からContent-Security-Policyが設定された

タイトル通りです。どうやらXSS脆弱性が見つかったようで、その対策とのこと。

https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2015-12-09

セキュリティが強化されるのは良いことですが、この変更によってかなり困った弊害が出ています。

具体的には次の通り。

  • Javadocが表示できない。真っ白の画面になる
  • Selenium HTML Reportプラグインでスタイルが適用されなくなった
    • 失敗したテストに色がつかないので、どこが失敗したのかわからなくなる

何事?と思ってデバッグコンソールを見てみたところ、Content-Security-Policyのエラーが出ていました。 ググッてみたところ、このWikiがヒット。

https://wiki.jenkins-ci.org/display/JENKINS/Configuring+Content+Security+Policy

対応方法

上記Wikiにある通り、Jenkinsの起動オプションで以下のように指定すればOK。

-Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'none'; image-src 'self'; style-src 'self' 'unsafe-inline'; child-src 'self'; frame-src 'self';"