content-security-policy相关内容

内容安全策略 (CSP) 如何工作?

我在开发者控制台中收到一堆错误: 拒绝评估字符串 拒绝执行内联脚本,因为它违反了以下内容安全策略指令 拒绝加载脚本 拒绝加载样式表 这是怎么回事?内容安全策略 (CSP) 如何工作?如何使用 Content-Security-Policy HTTP 标头? 具体来说,如何... ...允许多个来源? ...使用不同的指令? ...使用多个指令? .. ..
发布时间:2021-12-01 13:26:53 前端开发

HTML“nonce"的目的是什么?脚本和样式元素的属性?

W3C 表示 HTML5.1 中有一个名为 nonce 的新属性,用于 style 和 script 可由内容安全策略使用一个网站. 我用谷歌搜索了它,但最终没有明白这个属性的实际作用以及使用它时有什么变化? 解决方案 nonce 属性允许您将某些内联 script 和 style 元素,同时避免使用 CSP unsafe-inline 指令(这将允许 all 内联 script/s ..
发布时间:2021-11-30 15:51:46 前端开发

使用 Apache 2.4 生成随机数(用于内容安全策略标头)

我们正在努力制定严格的内容安全政策 (https://csp.withgoogle.com/docs/strict-csp.html),这需要 Apache 在每次请求资源时创建一个 nonce,以便我们可以将这个 nonce 插入到 http 标头中. 我们如何使用 Apache 2.4 创建随机数? 我读过的所有 CSP 相关文档都说“随机数只是在服务器上生成的随机字符串,包含在 ..
发布时间:2021-11-11 05:37:22 其他开发

使 Angular 使用限制性内容安全策略 (CSP)

我无法使基础 Angular2(最终版)应用程序与以下限制性 CSP 配合使用. default-src 'none';脚本src'自我';style-src '自我';font-src '自我';img-src 'self' 数据:;连接-src '自我' lang.jsunsafe-eval错误/a> 和 zone.js 中的两个.你能提供解决方案吗? 使用 Angular CLI ..
发布时间:2021-11-09 00:13:30 其他开发

内容安全策略指令:“img-src 数据:"错误

我正在 github 页面上测试我的 Angular 5 应用程序,每当我重新加载 index.html 以外的页面时,我都会收到此错误: 拒绝加载图像“https://sebamed.github.io/favicon.ico",因为它违反了以下内容安全策略指令:“img-src data:". 此外,当我尝试访问“404"错误页面时,我收到相同的消息. 现在,我为此尝试了多种解决方案 ..
发布时间:2021-11-08 22:45:10 其他开发

jQuery 3.1.1 违反 CSP 指令

我使用的是 jQuery 3.1.1 版,并且正在尝试实施 内容安全政策 (CSP) 指令在我的网页上. 我收到以下错误: 拒绝执行内联脚本,因为它违反了以下内容内容安全策略指令:"script-src 'self''nonce-c20t41c7-73c6-4bf9-fde8-24a7b35t5f71'".无论是'unsafe-inline' 关键字,一个散列('sha256-KAcp ..
发布时间:2021-10-26 17:22:23 其他开发

删除“不安全内联"的最佳实践从元素到单独脚本的代码

所以,背景故事是我是一个相当大的 CMS 的开发者.数十万行代码. 因此,在实施内容安全策略时,我被迫使用“unsafe-inline"对于 style-src 和 script-src 指令,因为 CMS 在元素中输出了很多内联 CSS,还有很多用于脚本编写的 onclick-attributes. 为了提取内联样式,我更新了创建实际 HTML 的代码,以生成内联样式的 crc32 ..
发布时间:2021-09-23 20:38:21 其他开发

ws://over https://- 混合内容

我在使用 js 应用程序时遇到了问题 - 我通过 https 访问了网站,但我需要通过 ws 连接外部设备 - 这是唯一的选项,该设备可以连接和响应. 我收到错误 混合内容:'https://(...).html' 上的页面是通过 HTTPS 加载的,但试图连接到不安全的 WebSocket 端点'ws://192.168.(...).(...)/(...)'.此请求已被阻止;此端点必须可 ..
发布时间:2021-09-22 19:50:03 其他开发

使用 Vue.JS 时,我们是否被迫在 CSP 中使用“unsafe-inline"?

有没有办法让 Vue.js 与 CSP 正常工作? 当我运行我的 spa 应用程序(由 npm run generate with Nuxt.js 产生)时,我会收到几个警告,例如: 拒绝应用内联样式,因为它违反了以下内容内容安全策略指令:“style-src 'self' 'strict-dynamic''nonce-124lk5fjOc4jn7qqLYEsG2jEvxYuqu8J' ..
发布时间:2021-09-20 19:34:49 其他开发

CSP:浏览器是否检查标题中的现时值是否与脚本标记中的现时值匹配?

我有一个页面使用Ajax加载部分内容.部分内容具有 script 标记,其临时值与 Content-Security-Policy 标头中定义的临时值不匹配. 这是完整的代码(使用asp.net核心+ jQuery 2.1.1) 中间件 对于每个http请求,中间件将注入带有随机数值的 Content-Security-Policy 标头 公共类CSPMiddleware{私有只读 ..
发布时间:2021-05-12 18:53:44 其他开发

为什么要为“内容安全策略"自定义标题在github上不工作?

我正在尝试在NodeJS的帮助下提供SVG响应.该SVG具有一个小的内联JavaScript代码,可动态计算SVG的宽度.使用浏览器直接调用API时,一切正常.但是,当我在GitHub的自述文件中使用这些API(以自述文件的形式向服务器SVG使用)时,这不允许我运行此存储在SVG中的内联JavaScript代码. 添加任何SVG时,github都会生成一个链接,它看起来像:: https:/ ..
发布时间:2021-04-24 19:37:10 其他开发

许多Github网站未显示图像(内容安全政策)

我遇到了许多Github网站,这些网站没有显示嵌入的图像.通过页面检查,我得到: 示例: kafdrop 拒绝加载图像“"因为它违反了以下内容安全策略指令:"img-src'self'数据:github.githubassets.com identicons.github.com collector.githubapp.com github-cloud.s3.amazon ..
发布时间:2021-04-24 19:37:06 其他开发

嵌入YouTube视频的CSP

我刚刚开始在Chrome上嵌入我的youtube视频(86.0.4240.193-最近更新,这可能就是我刚刚看到此内容的原因)开始看到这些-这些仅是“报告",因此这些视频仍然显示100张错误是不对的!这就是我所看到的: [仅报告]拒绝将字符串评估为JavaScript,因为在以下内容安全策略指令中不允许'unsafe-eval'作为脚本源:" script-src'strict-dynamic ..
发布时间:2021-04-24 19:37:01 其他开发

Google跟踪代码管理器-是否可以将CSP随机数添加到自定义HTML代码段中?脚本属性被剥离

我正在现有网站上实施CSP,并且一直遵循 变量被添加为DOM元素变量.然后,将变量值添加到自定义脚本中.这是一个演示脚本.这是GTM中整个Custom HTML标记. console.log(“带有随机数的CSP允许脚本:","{{nonce}}"); 问题是,CSP仍然阻止了此操作.它与{{nonce}}变量无关,通过将CSP更 ..
发布时间:2021-04-24 19:36:55 其他开发

如何解决“违反CSP指令:" default-src'self'在Angular 8中?

我们在客户服务器上部署了Angular 8单页Web应用程序.他们将CSP指令之一设置为:default-src'self'.像其他任何Angular应用程序一样,我们使用 ng build --prod 构建Angular应用程序.部署后,我们会收到以下错误消息: main-es2015.47b2dcf92b39651610c0.js:1拒绝应用内联样式,因为它违反了以下“内容安全策略"指令 ..
发布时间:2021-04-24 19:36:52 其他开发