将内容安全策略scipt-src sha功能与Apache HTTP Server一起使用
我正在使用Apache 2.4,我正在尝试实施内容安全策略。 我在 httpd.conf 中设置了以下标题 标题集内容 - 安全策略“默认'无'; script-src'self'” 现在,我有内联在html中使用脚本标记的javascript代码,如 alert('在此处执行操作“)< /脚本> 请注意,脚本标记包
..
content-security-policy相关内容
内容安全政策和相同的原始政策
MDN在内容安全政策方面表示: 如果网站不提供CSP标头,浏览器同样使用 标准同源政策。 https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP 我的网站没有定义任何CSP标题,仍然允许从谷歌,adobe等加载脚本。这与MDN上述声明有什么关系?如果相同的原始策略是默认的,那么来自外部源的脚本如何被允许执行? 解决方案
..
Apache Cordova App允许外部脚本
我目前正在通过visual studio构建一个apache cordova移动应用程序,并遇到了试图通过我的应用中的外部脚本运行小部件的问题。这些脚本在浏览器模拟器中运行良好,但是一旦我尝试在苹果设备上运行它们,脚本就不会加载。我已经研究了这个问题,并发现它通常与内容安全策略有关,我在下面附上这些内容以帮助解决问题。
..
内容安全策略标头的* .example.com是否也与example.com匹配?
假设我在 mywebsite.com 上设置了此标题: Content-Security-Policy:script-src self https://*.example.com I知道它会允许 https://foo.example.com 和 https://bar.example.com ,但它会允许 https://example.com 单独吗? 看
..
Knockout.js安全绑定
我想用knockout来使用安全绑定。为此,我使用 knockout-secure-binding.js 。 谁可以解释为什么下面的代码不起作用? 会引发错误` 未捕获# knockout-secure-binding.js:74` 在行 ko.applyBindings(new viewModel ());
..
哪些CSP子iframe从其父项继承?
我有一个网页(比如origin = A),里面嵌入了一个iframe,从不同的域加载(比如说B)。 B从不同的域加载脚本脚本(各种CDN)。我的网页A设置了非常严格的CSP,如: default-src'none'; script-src'self'; frame-src B B没有设置任何CSP标题。 现在我希望子框架B能够继承A的CSP规则,并且尝试访问各种CDN应该违反其C
..
禁止内联样式CSP和HTML元素的动态定位
一位客户已经改变了他们的CSP以禁止其服务器上的内联样式。据我所知,这意味着我们不能再使用JS动态定位/动画/设置HTML元素的样式,例如我们无法检测到DOM元素的位置,并通过JS定位另一个元素。 这是正确的吗?是否有解决方法让我们动态地使用此CSP限制来设置DOM元素?解析方案 在客户端上执行JavaScript。除非过滤软件非常聪明,否则您仍然可以添加动态内联样式,因为服务器不知道浏览
..
如果允许不安全内联,CSP如何保护我们
头文件集Content-Security-Policy:“default-src 'self'data :; script-src'self' 'unsafe-inline'; style-src'self''unsafe-inline'; img-src'self'data:“ 看起来它并没有提高实际安全性。真正的问题是内联JS。这可以随时被覆盖。允许不安全的内联不能保护我们免受
..
Google字体违反了内容安全政策
我尝试使用Google字体,但从未遇到过任何问题,但现在,当我尝试在我的标题上添加CSS文件时,我在控制台上看到以下错误信息: 拒绝加载样式表'http://fonts.googleapis.com/css?family=Whatever',因为它违反了以下内容安全政策指令:“style-src'self''unsafe-inline'”。 解决方案 使用https为谷歌字体链接
..
内容安全策略:该页面的设置阻止了自我加载资源?
我在 Tomcat 上运行基于Java的Web应用程序6.我的应用程序正在运行本地主机和端口9001。 为了使我的应用程序更安全并降低 XSS 攻击,我添加了头 Content-Security-Policy ,其值 default-src *'unsafe-内联“不安全评估”; script-src“自我”。有了这个,我想允许Web应用程序加载来自同一个域的JavaScript文件。
..
HTML“随机数”的目的是什么?脚本和样式元素的属性?
W3C表示,在HTML5.1中有一个新属性,称为 nonce ,用于样式和脚本,可以被网站的内容安全策略使用。 我搜索了一下,但最终没有得到它的内容这个属性在使用它时做了什么更改? 解决方案 nonce 属性使您可以将某些内联脚本和样式元素“列入白名单”,同时避免使用CSP 不安全的内联指令(这将允许所有内联脚本 / style code>),因此您仍然保留一般禁止内联脚本 / 样式
..
Jenkins内容安全策略
我知道这些网站: 配置内容安全政策 li> 内容安全策略参考 我有一个通过Jenkins Clover Plugin显示的html页面。这个html页面使用内联样式,例如:
div元素可视化一个进度条。 使用默认的Jenkins CSP配置会产生以下结果: Prog
..
内容安全政策如何运作?
拒绝评估一个字符串 拒绝执行内联脚本,因为它违反了以下内容安全策略指令 拒绝加载脚本 拒绝加载样式表 这是怎么回事?内容安全政策如何运作?如何使用 Content-Security-Policy HTTP标头? 具体来说, p> ...允许多个来源? ...使用不同的指令? ...使用多个指令 ...处理端口 ... ...处理不同的协议 li> ..
..
使用Google地图API的CSP不安全评估
在尝试使用Google地图的API时,出现 script-src 'unsafe-eval' p> 以下是控制台错误: 未捕获的EvalError:拒绝将字符串评估为JavaScript,因为'unsa
..
Firebase + Chrome内容安全策略设置?
我试图在Chrome扩展后台页面中使用Firebase,但看起来它正在执行内联脚本,由于安全考虑,这是不允许的。 我目前已将CSP设置为: {“content_security_policy”: “script-src'self 'https://cdn.firebase.com https:// .firebaseio.com; object-src'
..
谷歌浏览器:拒绝执行内联脚本
根据Chrome内容安全策略的变化,我已将所有脚本移动到单独的文件中,并在HTML页面(背景和弹出窗口)中引用它们以扩展我的Chrome扩展。但我仍然收到以下消息: 拒绝执行内联脚本,因为它违反了以下内容安全策略 指令: “script-src”self'chrome-extension-resource:“。 这是我的背景页面 < HTML>
..
使用Chrome扩展程序注入远程iframe
在我的生活中,我无法让我的Chrome扩展程序显示带有远程URL的iframe。 我在控制台中看到以下消息 - 拒绝框架' https://www.example.com/ ',因为它违反了以下内容安全政策指令:“孩子-src'self'“。请注意,'frame-src'没有明确设置,所以'child-src'被用作后备。 解决方案在这里(将iframe注入限制性页面内容安全策略
..
将内容安全策略中的多个域列入白名单
我正在撰写一个chrome扩展程序,其内容安全策略的白名单中需要有两个域。我看了官方文档,但我仍然无法弄清楚正确的语法。 以下内容似乎不起作用: “content_security_policy”:“script-src'self'https://foo.com https://example.com; object-src' self'“ 编辑: 我的内
..
内容安全政策的扩展和bookmarklets
Github的内容安全政策: 内容安全策略:default-src *; script-src assets-cdn.github.com www.google-analytics.com collector-cdn.github.com; object-src assets-cdn.github.com; style-src 'self''unsafe-inline''unsafe-
..
Facebook扩展程序中的Chrome扩展程序POST请求失败
我有一个Chrome扩展程序,它向每个页面上的一些数据发送AJAX POST。 问题是,Facebook阻止AJAX请求导致: > 拒绝连接到 'URL_HERE',因为它 违反了以下内容安全策略指令:“connect-src https:// .facebook.com http:// .facebook.com https:// .fbcdn.net http:// .fb
..