content-security-policy相关内容
我有一个node.js应用程序,其主页在angularjs中。该页面包含一个“搜索”框,并具有相应的search.js脚本,该脚本运行并进行服务器端查询。为了安全起见,我在node.js应用程序中使用以下csp配置添加了“ csp”。 const csp = require('helmet- csp'); app.use(helmet()); app.use(csp({ 指令:{
..
我正在通过Google Cloud Storage存储桶提供SPA(Vue应用程序)。 并且我正在尝试配置Google Cloud Storage存储桶以添加CSP响应标头。 ( Content-Security-Policy:default ... ) 我尝试了以下操作,但没有成功: 1。使用 gsutil 添加标头 运行以下命令: gsutil setmeta -h
..
我正在尝试从这些链接中抓取电话号码“ https://www.practo.com/delhi/doctor/dr-meeka-gulati-dentist-3?specialization=Dentist&practice_id=722421 ”和“ https://www.practo.com/delhi/doctor/dr-rajeev-puri-ear-nose-throat-ent-sp
..
我正在使用Uploadcare在应用程序中上传图像和文件,并且还在使用浏览器策略软件包来确保内容安全。我最近注意到相机上传功能无法正常工作,无法弄清楚如何允许它。 拒绝从“ blob:http%3A /// localhost%3A3000 / e44633a7-227f-40e2-a3bd-9efd211f677d',因为它违反了以下内容安全策略指令:“ default-src'self'
..
我正在编写一个Android应用程序,该应用程序加载本地网页,并将该页面发布到某个内部iframe中,该iframe会显示有关该用户的数据。 由于以下原因,远程站点拒绝显示在我的 android_asset / page.html 上: 拒绝在框架中显示“ https:// example / foo / bar”,因为祖先违反了以下内容安全策略指令:“ frame-ancestors
..
我的页面上出现以下错误: 拒绝加载脚本'http://127.0.0.1 :35729 / livereload.js”,因为它违反了以下内容安全政策指令:“ script-src https:'unsafe-inline''unsafe-eval'”。 HTML
..
我正在开发一个salesforce应用程序,该应用程序将在salesforce页面的iframe中呈现。使用节点快递服务器呈现此页面。作为安全性审查的一部分,我只想在salesforce页面中进行渲染,并在嵌入到其他任何位置时进行阻止。 为此,我添加了content-security-policy标头,如下所示: response.header(“ Content-Security-P
..
我的应用程序不显示相机图像,而是显示损坏的图像,但是对于其他图像(屏幕截图...),我不会遇到此问题。 这是显示的错误:拒绝加载图像,因为它违反了以下“内容安全策略”指令:“ default-src *”。请注意,未明确设置“ img-src”,因此将“ default-src”用作后备。 这种情况仅在相机图像上发生。 > 有什么帮助吗? 解决方案 您是否尝试过添加以下行
..
是否可以在ASP.NET WebForm上使用CSP阻止Internet Explorer 11上的内联JavaScript?我知道IE 11不支持内容安全策略2级,但它看到了对1.0级的支持。我尝试了很多方法,但没有明确的答案。我尝试过: Response.AddHeader(“ X-Content-Security-Policy”,“ script-src‘none’”); Respo
..
我尝试使这些标签在express / node.js环境中工作,但是不知何故它们总是被内容安全策略阻止。 我已经尝试使用多个诸如express-csp-header或csp-header之类的节点模块,但没有一个能解决问题。所以我回到了“正常”声明。 这是我server.ts脚本的顶部: app.use((req:any,res:any,next:any)=> { res.s
..
我已经实现了用于管理应用程序中内容安全策略层的代码。 我的实现是基于 ActionFilterAttribute 的,该代码的灵感来自此处提供的代码(为简单起见,我将其包括在问题中)。 公共重写void OnResultExecuting(ResultExecutingContext context){ var result = context.Result; if(结果是ViewR
..
鉴于此链接, 似乎是内联脚本,例如用于通过
..
我最近为 https://stefan.sofa-rockers.org/添加了以下CSP策略。 default-src'self'; style-src‘self’https://brick.a.ssl.fastly.net; font-src'self'https://brick.a.ssl.fastly.net 似乎可以在所有浏览器上正常工作,但是Firefox向我
..
这是我的元标记: 我正在
..
我在“仅报告”模式下使用以下内容安全策略: Content-Security-Policy-Report-Only “ default-src'self'; report-uri / log_violations” 当我转到以下网址时带有包含以下内容的HTML页面的服务器: 测试文件
..
我正在为我的网站设置内容安全策略(CSP)。过去几周我一直在几个网站上使用它,没有任何问题。我已经成功集成了外部脚本和其他各种东西。 今天,尽管我想集成第三方日历预订系统(非常有趣)。他们使用iframe弹出窗口,对于我一生,我无法在安全策略上接受它。 我不断收到此错误 将'url-to-calendly'设为框架,因为它违反了以下内容安全策略指令:“ frame-src” ...
..
我正在使用csp标头保护我的页面。我同时设置了 X-Content-Security-Policy 和 X-Webkit-CSP 。更改为以下值: default-src‘self’; object-src'none'; frame-src‘self’* .youtube.com; style-src‘self’https://ajax.googleapis.com; sc
..
我的网站正在加载第三方库,该第三方库加载了各种脚本以从我的网站抓取数据,并通过XHR将其发送到其自己的服务器进行分析。我想做一个限制,使我的页面只能与我的服务器和一台第三方服务器通信,而不会建立其他连接。 我想知道CSP是否connect-src会这样做吗? 例如,假设我的网站是x.com,第三方是y.com 如果y.com加载了将数据发送到y.com的脚本,那是可以的,但如果将
..
我最近在混合应用程序中将 UIWebview 替换为 WKWebview 。我正在使用自定义方案从Apple的推荐位置从应用程序的本机部分加载图像: https://developer.apple.com/videos/play/wwdc2017/220/ 我正在加载来自网址的图片看起来像 mycustomscheme://?path = somepath 我添加了Content-包
..
我有一个带有以下指令的元标记:
..