如何解决“违反CSP指令:" default-src'self'在Angular 8中?
我们在客户服务器上部署了Angular 8单页Web应用程序.他们将CSP指令之一设置为:default-src'self'.像其他任何Angular应用程序一样,我们使用 ng build --prod 构建Angular应用程序.部署后,我们会收到以下错误消息: main-es2015.47b2dcf92b39651610c0.js:1拒绝应用内联样式,因为它违反了以下“内容安全策略"指令
..
content-security-policy相关内容
部署React/Express应用后出现内容安全策略错误
我在heroku上部署了一个react/express应用,当我访问此处时,我得到了此错误'拒绝加载图像' https://nameless-sands-37753.herokuapp.com/favicon.ico ",因为它违反了以下内容安全政策指令:"default-src'none'".请注意,未明确设置"img-src",因此将"default-src"用作后备.这是我尝试过的:
..
设置为*时,Chrome扩展程序Content-Security-Policy引发错误
我已经在manifest.json中尝试了CSP设置的所有可能设置,这是我的当前设置(我知道它非常开放和不安全). 当我打开扩展程序的后台检查时,重新加载后的第一次很好,有时直到第五次,然后突然出现下面的错误. "content_security_policy":"default-src *'unsafe-inline''unsafe-eval'; script-src *'unsafe-
..
内容安全策略和Office UI Fabric
我一直在尝试设置CSP以与Office UI Fabric React一起使用.有没有比 style-src'unsafe-inline'更安全的东西了? 我们有一个带有TypeScript的Create React App,我们正在使用Office UI Fabric React提供一致的外观. 使用csp-html-webpack-plugin和craco,在设置 INLINE_R
..
Firefox拒绝加载具有严格动态设置的任何脚本
如果设置了严格动态,Firefox 68将拒绝加载脚本.删除它可以解决问题,但是我试图找出 为什么 严格动态会导致Firefox阻止脚本.(Chrome 76或77中没有错误.) 这是我当前的CSP: default-src'none';base-uri“自我";connect-src https://api.[mysite] .com;font-src'self'https://use
..
拒绝加载图像'https://res.cloudinary.com/.. violngecurity策略指令:"img-src'自身'数据:"
iam使用vue.js和node.js,我在cloudinary中上传照片,当我在heroku上上传网站时,它运行良好,但出现图像错误,我尝试了很多方法来解决,但不起作用那是错误 拒绝加载图像'https://res.cloudinary.com/ammarleejot/image/upload/v1609954985/j7v7ezyvnax9fuokrryb.jpg',因为它违反了以下内容安全
..
新形式的内容安全政策问题
为我正在使用的新表单设置内容安全策略的最简单方法是什么?我有一个前端到后端的表单用于我的注册,但是此表单要复杂得多,并向我抛出以下错误.我知道这与webpack有关,我已经尝试将代码插入到publ; ic index.html文件中,该文件刚刚停止了页面的呈现. 这与后端中的CORS设置有什么关系吗?我有以下引用标头的代码,并且在获取与我有相同问题的其他形式的标题时,我收到了错误消息.
..
如何正确设置helmet.js来解决CSP问题?
当我启动Express应用程序时,浏览器会给我这个错误: 拒绝加载脚本"http://localhost:1337/main.js",因为它违反了以下内容安全策略指令:"script-src unsafe-eval".请注意,未明确设置"script-src-elem",因此将"script-src"用作后备. 在我的index.js文件中,我像这样设置了头盔: //设置内容安全策略con
..
如何允许内容安全策略从Google API运行外部JavaScript?
这是我当前针对我的应用的script-src内容安全策略: script-src'self''unsafe-inline'https://maps.googleapis.com https://maps.gstatic.com; 尝试加载以下外部js代码: https://maps.googleapis.com/maps/api/js?key=$ {GOOGLE_API_KEY}
..
用CSP反应CRA:拒绝执行内联脚本
我已经使用: 默认情况下,Create React App将在生产构建期间将运行时脚本嵌入index.html中. 这似乎是动态生成的脚本的来源. 文档进一步建议 .env 文件中应包含 INLINE_RUNTIME_CHUNK = false 标志,以避免嵌入脚本. 通过在 .env 文件中包含 INLINE_RUNTIME_CHUNK = false 标志,重新构建和部
..
Google+集成Chrome扩展程序问题
我正在尝试将google + API与我的google chrome扩展集成.我基于此快速入门示例进行了集成: https://developers.google.com/+/quickstart/javascript 我已将所有内联javascript代码迁移到单独的文件,并在manifest.json文件中添加了content_security_policy行: "content_
..
如何修复“内容安全策略-包含无效来源"错误?
我收到此错误,但我不知道为什么,我包含的脚本有效吗?而且错误仅在我加载子页面时显示.当我加载起始页时不行.所以我我做错了什么? “内容安全策略"指令"script-src"的源列表包含无效的源:"strict-dynamic".它将被忽略.
..
Chrome嵌入程序禁止生成Wasm代码
我将在Unity内建的Web应用程序中嵌入了Unity内建的WebGL游戏.我出于安全目的在后端使用了CSP,但是即使在我的CSP中包含了 wasm-eval 指令之后,我仍然仅在Chrome中继续遇到这些错误: UnityLoader.js:4无法异步准备wasm:CompileError:WebAssembly.instantiate():Wasm代码生成被嵌入器所禁止printErr @
..
如何使用CSP(内容安全策略)将WebForms项目中动态创建的脚本列入白名单?
是否存在使用CSP(内容安全策略)将WebForms项目中动态创建的脚本列入白名单的安全方法? 使用如下所示的 unsafe-inline 可行,但不建议使用. context.Response.Headers.Append("Content-Security-Policy",string.Format("default-src'none'; connect-src'self'; fon
..
使用内容安全策略>在chrome中打开嵌入在iframe中的PDF.插件类型
我将CSP(内容安全策略)插件类型策略设置为白名单pdf类型,如下所示.尝试在具有src属性的iframe中打开PDF文件时,它在IE 11和Firefox 47+浏览器上均可正常使用,但在Chrome 50+中无法运行.使它在chrome中工作还需要什么? Content-Security-Policy:default-src'self';script-src'self''unsafe-in
..
使用随机数时,为什么我无法绕开CSP阻止nunjucks中的javascript代码
我试图让用户在找不到404时返回到先前的屏幕,但我的CSP正在阻止我. 使用随机数似乎是解决问题的办法,但我无法让事情顺利. 理想情况下,我想将现时添加到我的href中,但是我不确定这是否可行.另外,我想从404文件中运行一些javascript,但似乎并没有提高我的现时价值. 这是我在头盔csp中设置随机数的方法: app.locals.nonce = crypto.ran
..
尽管来源相同,但同源请求会导致"Access-Control-Allow-Origin不匹配"错误.注意:是否具有带有“沙盒"的CSP策略?
当CORS及其网页的URL同时使用精确 相同 URL时,我在Firefox开发控制台中仍然收到相同的错误消息./p> 浏览器控制台消息为: 跨域请求被阻止:\“相同来源策略"不允许读取远程资源\在https://egbert.net/fonts/fontawesome-webfont.woff2?v=4.7.0.\(原因:CORS标头"Access-Control-Allow-Origin"不
..
内容安全策略正在阻止允许域中的URI
我的 .htaccess 文件中设置了以下内容安全策略: default-src'none';\形式动作“自我";\框架祖先“无";\font-src'self'数据:fonts.gstatic.com * .fontawesome.com;\img-src'self'数据:www.google-analytics.com www.facebook.com;\script-src'self''
..
即使添加了"unsafe-eval",对CSP阻止的function()的调用
我正在处理NodeJS项目,并且正在使用 CSP (内容安全政策). 我正在使用外部插件 FullCalendar ,该插件已被csp阻止,并显示以下错误: 错误:对Function()的调用被CSP阻止 我使用 script-src'self''unsafe-eval'; 覆盖它,但在Firefox中不起作用.在其他浏览器中,它运行正常. 我在这个问题上停留了4小时.
..
在tomcat中配置Content-Security-Policy
我了解了有关配置/实现Content-Security-Policy标头的信息,并且遇到了两种实现方法: 使用自定义过滤器来实现此,我正在寻找比
..