content-security-policy相关内容

node.js应用程序中的CSP错误

我有一个node.js应用程序,其主页在angularjs中。该页面包含一个“搜索”框,并具有相应的search.js脚本,该脚本运行并进行服务器端查询。为了安全起见,我在node.js应用程序中使用以下csp配置添加了“ csp”。 const csp = require('helmet- csp'); app.use(helmet()); app.use(csp({ 指令:{ ..
发布时间:2020-10-08 22:56:51 其他开发

流星浏览器策略本地摄像机不允许

我正在使用Uploadcare在应用程序中上传图像和文件,并且还在使用浏览器策略软件包来确保内容安全。我最近注意到相机上传功能无法正常工作,无法弄清楚如何允许它。 拒绝从“ blob:http%3A /// localhost%3A3000 / e44633a7-227f-40e2-a3bd-9efd211f677d',因为它违反了以下内容安全策略指令:“ default-src'self' ..
发布时间:2020-10-08 22:54:39 其他开发

“ Content-Security-Policy”,“ frame-ancestors *”来自android_asset

我正在编写一个Android应用程序,该应用程序加载本地网页,并将该页面发布到某个内部iframe中,该iframe会显示有关该用户的数据。 由于以下原因,远程站点拒绝显示在我的 android_asset / page.html 上: 拒绝在框架中显示“ https:// example / foo / bar”,因为祖先违反了以下内容安全策略指令:“ frame-ancestors ..
发布时间:2020-10-08 22:54:33 移动开发

拒绝显示在框架中,因为祖先违反了以下内容安全策略指令

我正在开发一个salesforce应用程序,该应用程序将在salesforce页面的iframe中呈现。使用节点快递服务器呈现此页面。作为安全性审查的一部分,我只想在salesforce页面中进行渲染,并在嵌入到其他任何位置时进行阻止。 为此,我添加了content-security-policy标头,如下所示: response.header(“ Content-Security-P ..

Android上的Ionic 2 CSP

我的应用程序不显示相机图像,而是显示损坏的图像,但是对于其他图像(屏幕截图...),我不会遇到此问题。 这是显示的错误:拒绝加载图像,因为它违反了以下“内容安全策略”指令:“ default-src *”。请注意,未明确设置“ img-src”,因此将“ default-src”用作后备。 这种情况仅在相机图像上发生。 > 有什么帮助吗? 解决方案 您是否尝试过添加以下行 ..
发布时间:2020-10-08 22:52:17 其他开发

使用内容安全策略防止Internet Explorer 11上的内联JavaScript

是否可以在ASP.NET WebForm上使用CSP阻止Internet Explorer 11上的内联JavaScript?我知道IE 11不支持内容安全策略2级,但它看到了对1.0级的支持。我尝试了很多方法,但没有明确的答案。我尝试过: Response.AddHeader(“ X-Content-Security-Policy”,“ script-src‘none’”); Respo ..
发布时间:2020-10-08 22:51:13 C#/.NET

如何使用express / node.js配置CSP标头?

我尝试使这些标签在express / node.js环境中工作,但是不知何故它们总是被内容安全策略阻止。 我已经尝试使用多个诸如express-csp-header或csp-header之类的节点模块,但没有一个能解决问题。所以我回到了“正常”声明。 这是我server.ts脚本的顶部: app.use((req:any,res:any,next:any)=> { res.s ..

ASP Net核心内容安全策略实施

我已经实现了用于管理应用程序中内容安全策略层的代码。 我的实现是基于 ActionFilterAttribute 的,该代码的灵感来自此处提供的代码(为简单起见,我将其包括在问题中)。 公共重写void OnResultExecuting(ResultExecutingContext context){ var result = context.Result; if(结果是ViewR ..
发布时间:2020-10-08 22:51:01 C#/.NET

Firefox中奇怪的CSP错误

我最近为 https://stefan.sofa-rockers.org/添加了以下CSP策略。 default-src'self'; style-src‘self’https://brick.a.ssl.fastly.net; font-src'self'https://brick.a.ssl.fastly.net 似乎可以在所有浏览器上正常工作,但是Firefox向我 ..
发布时间:2020-10-08 22:44:30 其他开发

如何允许带有内容安全策略(CSP)的iframe

我正在为我的网站设置内容安全策略(CSP)。过去几周我一直在几个网站上使用它,没有任何问题。我已经成功集成了外部脚本和其他各种东西。 今天,尽管我想集成第三方日历预订系统(非常有趣)。他们使用iframe弹出窗口,对于我一生,我无法在安全策略上接受它。 我不断收到此错误 将'url-to-calendly'设为框架,因为它违反了以下内容安全策略指令:“ frame-src” ... ..
发布时间:2020-10-08 22:44:02 其他开发

CSP可以限制动态加载脚本的连接吗?

我的网站正在加载第三方库,该第三方库加载了各种脚本以从我的网站抓取数据,并通过XHR将其发送到其自己的服务器进行分析。我想做一个限制,使我的页面只能与我的服务器和一台第三方服务器通信,而不会建立其他连接。 我想知道CSP是否connect-src会这样做吗? 例如,假设我的网站是x.com,第三方是y.com 如果y.com加载了将数据发送到y.com的脚本,那是可以的,但如果将 ..
发布时间:2020-10-08 22:43:53 其他开发

WKWebview [警告] [已阻止] https://www.myurl.com上的页面不允许显示来自mycustomscheme://?path = somepath的不安全内容

我最近在混合应用程序中将 UIWebview 替换为 WKWebview 。我正在使用自定义方案从Apple的推荐位置从应用程序的本机部分加载图像: https://developer.apple.com/videos/play/wwdc2017/220/ 我正在加载来自网址的图片看起来像 mycustomscheme://?path = somepath 我添加了Content-包 ..
发布时间:2020-10-08 22:43:50 移动开发