如何使用元标记放宽内容安全策略
我正在尝试使用某些页面的特定元标记来覆盖内容安全策略. 我已经尝试了几个小时,但是我还没有成功. 是否有一种方法可以从页面本身(使用JavaScript或元标记)覆盖CSP,而无需修改服务器配置? 谢谢. 解决方案 否. 出于安全原因,元标记只能使策略更加严格,而不能放松标头中定义的策略. 如果meta标签可以放宽政策,则CSP将无所适从.任何恶意方都可以添加
..
content-security-policy相关内容
即时更改innerHTML设置
我需要使用innerHTML即时更改在每个节点上设置的值. 我找到的最接近的解决方案是: ... Object.defineProperty(Element.prototype, 'innerHTML', { set: function () { // get value (ok) var value = arguments[0];
..
Safari:无法识别的Content-Security-Policy指令'frame-ancestors'
我有一个应用程序siteA.com,该应用程序已加载到siteB.com中的iframe中. 没有警告直接加载siteA.com,但是当它位于siteB.com的iframe中时,会得到无法识别的Content-Security-Policy指令'frame-ancestors';仅在Safari中使用. 所有这些更改都是在siteA.com中进行的 元标记,没有运气
..
将Google字体(fonts.googleapis.com)添加到CSP标头中
我正在gitHub页面上托管一个个人项目,并使用cloudflare强制执行https.现在,我想实施CSP政策. 我尝试将meta标签添加到页面顶部:
..
如何使用content-security-policy元标记允许混合内容(带有https的HTTP)?
我正在强迫https访问我的网站,但是某些内容必须通过http加载(例如,视频内容不能通过https加载),但是浏览器由于mixed-contents而阻止了该请求政策. 经过数小时的搜索,我发现我可以使用 Content-Security-Policy ,但是我不知道如何允许混合内容.
..
脚本导致“拒绝执行内联脚本:需要'unsafe-inline'关键字,散列…或现时才可以启用内联执行"
我不断收到此错误: 拒绝执行内联脚本,因为它违反了以下内容安全策略指令:"default-src'self'data:gap: http://www.visitsingapore.com https://ssl.gstatic.com '不安全-评估".关键字'unsafe-inline',散列('sha256-V +/U3qbjHKP0SaNQhMwYNm62gfWX4QHwPJ7We1P
..
内容安全策略:页面的设置阻止了资源的加载
我在页面加载时使用了验证码,但由于某种安全原因而被阻止 我正面临问题: Content Security Policy: The page's settings blocked the loading of a resource at http://www.google.com/recaptcha/api.js?onload=myCallBack&rende
..
禁用内容安全策略
当我在开发网站时,我经常希望看到某个特定功能在网站上的外观。所以我转到chrome开发人员工具并经常运行一些javascript脚本。 我经常发现由于内容安全策略(CSP)而导致某些脚本无法运行的问题为了防止跨站点脚本,我完全理解。 问题:因为我在页面上用开发者控制台测试功能在我的浏览器客户端上为我加载,我想知道是否有一种方法可以在加载后禁用该特定页面的CSP?可能在源代码中的某个地方
..
如何让KendoUI MVC与内容安全策略一起使用
在使用ASP.NET MVC Kendo组件时,如何避免Telerik KendoUI创建内联脚本? 避免内联脚本的原因是遵循CSP标题 Content-Security-Policy:script-src'self''unsafe-eval'https://kendo.cdn.telerik.com 并且不会出现错误,如 拒绝执行内联脚本,因为它
..
如何使Google跟踪代码管理器和内容安全政策共存?
内容安全策略(CSP)标题旨在保护您的应用免受恶意资源注入在您的网络应用中。为简单起见,您为所有图像,脚本,样式等提供了允许域名来源的白名单。 同时,营销团队正在使用 Google跟踪代码管理器(GTM)来管理代码。原则是从页面收集信息,将它们发送到GTM并将这些数据用作变量来生成标签,模板化JS / HTML和这些变量的组合。 问题是这些标签中的大多数都包含javascript,用于
..
使用CSP防止自动点击链接XSS攻击
虽然使用CSP的目的略有不同(沙盒),但我意识到一个非常简单的自动点击链接似乎绕过了相对严格的CSP。我所描述的内容如下: 内容安全政策: default-src'none'; script-src'unsafe-inline'; 身体: test d
..
如何在没有不安全的内联JavaScript / CSS代码的情况下使用React?
背景 我必须使用使用WebExtensions的默认CSP ,或者至少只进行微调。 然而注意,那(严格的) )出于安全原因,CSP实际上也应该在“普通”网站上使用,因此这个问题不仅仅是 附加制造商。 问题 但是当我运行 npm run build 生成的 index.html 确实包含足够多的内联JS 代码。 问题 那么如何配置/使用反应来做不到这一点.....
..
Javascript创建WebSocket连接被拒绝 - 内容安全
尝试打开从浏览器到运行在localhost:9000上的服务器的WebSocket连接,这是我的JS代码: $(document).ready(function(){ var url =“ws:// localhost:9000 / myapp”; var connection = new WebSocket(url); connection.onopen = funct
..
内容安全策略包括脚本
我需要包含此脚本 https://apis.google.com/js/ api:client.js 在我的网站上。在谷歌浏览器上它工作正常,但在 Firefox (显然IE)我收到一些错误: 内容安全策略:在script-src中忽略“'unsafe-inline'”:指定'strict-dynamic' 内容安全策略:忽略“https:”在script-src中:'strict-d
..
如何检测内容安全策略(CSP)
我注意到GitHub和Facebook现在都在实施此政策,这限制了第三方脚本在其体验/网站中运行。 有没有办法使用 JavaScript 检测文档是否针对CSP运行? 我正在编写一个书签,如果他们在不支持嵌入脚本标记的网站上,则希望给用户一条消息。 解决方案 这个怎么样。对于慢速连接,可能应该提高超时。 Onload是我用来检测它的东西,它似乎工作。如果它加载,则CSP显然未启用或
..
Modernizr导致内容安全策略(CSP)违规错误
我正在尝试在测试网站上使用新的内容安全策略(CSP) HTTP标头。当我将CSP与Modernizr结合使用时,我得到了CSP违规错误。这是我正在使用的CSP政策: Content-Security-Policy: default-src'self' ; script-src'self' ajax.googleapis.com ajax.aspnetcdn.com; style-src's
..
如何在浏览器JS控制台中包含脚本时覆盖内容安全策略?
我试图通过这种方式使用控制台在现有网站上包含JQuery: var script = document.createElement('脚本'); script.src ='http://code.jquery.com/jquery-1.11.1.min.js'; script.type ='text / javascript'; document.getElementsByTa
..
内容安全策略错误,但元标记包含URL
为什么我收到这样的错误? 拒绝加载脚本'http://maps.googleapis.com / maps / api / js?v = 3& sensor = false' 因为它违反了以下内容安全策略指令: “script-src'self'*。 googleapis.com'unsafe-inline''unsafe-eval'“。 我的元标记:
..
Internet Explorer的内容安全策略(CSP)解决方法
我们正在构建 ASP.NET 网站,并且只允许某些域谁可以 iFrame 我们的网站。 Internet Explorer中不支持CSP。我设置了类似于 Response.AddHeader(“Content-Security-Policy”,“frame-ancestors mydomain1.com mydomain2.com”)。 每个人如何处理Internet Explorer。我
..
允许通过HTTPS加载HTTP资源
假设我的网站是通过HTTPS而我需要从 CSS 或对象资源c> HTTP ,我该怎么做? 请注意我可以添加 Content-Security -Policy 到 HTTPS 网站上的响应标题,但我不知道如何做到这一点。有人可以给我一个解决方案吗? 解决方案 没有解决方案。现代浏览器将拒绝将非https资源用于https提供的页面,因为您通过这种方式有效地破坏了https的安全模型。
..