无法识别的内容安全策略指令:disown-opener,reflected-xss,referrer
我至少90%确信以下是Chrome实施 W3C的CSP的结果标准,但我认为最好是加倍检查并确保。 我目前正在实施严格的内容安全性客户端的安全策略,并且在Chrome 66上遇到了以下策略指令复杂问题: 无法识别的内容安全策略指令“ disown-opener”。 无法识别的Content-Security-Policy指令“ reflected-xss”。 无法识别的内容安全政策指
..
content-security-policy相关内容
内容安全策略阻止远程CSS背景图片
我的CSP阻止了从远程服务器加载的背景图像,并显示消息 内容安全策略:页面设置被阻止自行加载 资源(“ default-src * https://xxxxx.com “)。来源: 背景图片:url(' https:// xxxxx .... 这是我的CSP: ...其中 xxxxx 显然是我的域。 我认为它不喜欢 url(... ,但 CSP规
..
属性内联JS的CSP哈希或随机数
内容安全政策的新手,因此不确定是否可行,但想知道如何在HTML元素的属性内为某些内联脚本添加哈希或随机数。 例如:
在Google Chrome浏览器中给我以下CSP错误: 拒绝执行内联事件处理程序,因为它违反了内容安全策略指令中的 :“ script-
..
为什么我的内容安全策略在Safari以外的所有地方都有效
我将我的安全策略定义为: default-src“ self”; script-src“ self”; frame-src“ self”; style-src‘self’‘unsafe-inline’; (我仍然在几页的顶部放CSS)。 我在Firefox或Chrome上没有问题(IE尚不支持CSP),但是,当我尝试在Safari中进行测试时,出现了一系列错误,
..
内容安全策略指令:拒绝加载字体
我使用angular-cli创建了一个有角度的项目,但是当我使用启动该项目时, npm start 它显示 拒绝加载字体“数据:字体/ WOFF; BASE64,d09GRgABAAAAAGVUABEAAAAAxuQAAQABAAAAAAAAAAAAAAAAAAAAAAAAAABHREVGAAABgAAAAC4AAAA0ArgC7UdQT1MAAAGwAAAQ6A
..
如何让脚本使用setAttribute'style'而不破坏CSP
我正在努力保持我的CSP政策尽可能严格。我需要在捆绑包中包含3d派对组件。但是它使用 element.setAttribute(’style’...)方法破坏了CSP。有没有办法允许该特定脚本以这种方式内联样式? 解决方案 2018-10-06更新 此处的原始答案目前仍是正确的 ,因为CSP 目前已在浏览器中实现至少,如果不指定 unsafe-inline 并指定 unsafe-in
..
违反以下内容安全策略指令
当我将图像上传到Web应用程序时,它显示以下错误 拒绝加载图像'< ; URL> ,因为它违反了以下内容安全策略指令:“ default-src * data:'unsafe-eval''unsafe-inline'''。请注意,未明确设置“ img-src”,因此将“ default-src”用作备用。 我尝试通过以下方法解决此错误:使用以下代码
..
内容安全策略允许采用内联样式,而不会出现不安全的内联
使用不带style-src'unsafe-inline'的内容安全策略,如何允许这样的样式? Hello 我尝试向他们添加一个随机数并将该随机数添加到CSP头中,但这似乎不起作用
..
尝试渲染iframe:祖先违反了以下内容安全政策指令:“ frame-ancestors'none'”
我想使用ith渲染源为Github的iframe:
..
为什么我会因阻塞的uri“关于”而违反CSP?
我的CSP报告URI收到以下CSP违规: { “ csp-report”:{ “ document-uri”:“ https://example.com/blog/somepage”, “ referrer”:“”, “ violated-directive”:“ img-src'自我数据:p.typekit.net pbs.twimg.com platform.twitter.com
..
“内联样式”-内容安全策略和Javascript错误
我在Apache2配置中使用以下命令打开了服务器上的内容安全策略: Header set Content-Security -Policy-Report-Only“ default-src'self'” (我将其设置为 ...-仅报告仅报告错误,而在开发过程中并未真正阻塞。) 此设置会产生一个我不明白的错误。但是我可以重现它: 这是简化的html代码:
..
CSP:不建议使用child-src和frame-src
在CSP v2中已弃用 frame-src 。建议使用 child-src 。 在CSP v3 frame-src 中,建议不要使用 child-src 已弃用。 当前(2017年9月)Chrome: 不建议使用'child-src'指令,并将于2017年8月左右在M60中将其删除。请改用Workers的'script-src'指令。 那么在现代(减去2个版本)浏览器中工作的指令的
..
内容安全政策(CSP)-安全使用不安全评估吗?
我们使用以下CSP标头: default-src‘self’* .ourdomain.com; script-src'self'* .ourdomain.com'sha256-[...]''unsafe-eval'; connect-src‘self’* .ourdomain.com; style-src“不安全内联” *“自身”数据: font-src *; img-src
..
使用内联样式有哪些风险?
具有内容安全政策 c> default-src 或 style-src 指令将阻止将内联样式应用于 元素或样式属性。要允许使用内联样式,必须将 unsafe-inline 的值应用于CSP提取指令。这似乎表明内联样式不安全。 内联Javascript是XSS攻击的明显攻击媒介(CSP为几乎没有用,并带有 script-src'unsafe-inline'),Google We
..
使用javascript检测CSP违规
是否可以使用javascript检测到违反内容安全策略的行为? 我的CSP工作并发送其报告,在该报告中我看到一些URL被注入,可能是通过浏览器插件。我想向用户显示一些插件试图修改页面的提示。 我能以某种方式检测到使用javascript终止的连接(它本身已列入白名单)当然是CSP)? 解决方案 根据 W3C CSP规范,违反将触发 securitypolicyviolation
..
ASP.NET WebForms中的内容安全策略
我正在寻找一种很好的方法来为我的ASP.NET WebForms应用程序实现相对较强的Content-Security-Policy标头。我在文件而不是内联中存储了尽可能多的JavaScript,但是默认情况下,WebForms会注入很多内联脚本,以实现诸如表单提交和基本AJAX调用之类的简单操作。 MVC有一些简单的方法来实现随机数,尤其是在第三方库(如NWebsec)的帮助下,但是我似乎
..
nodeJS https-无法设置内容安全策略
我正在尝试使用HTTPS和Express编写一个简单的NodeJS HTTPS Web服务器,该服务器具有可配置的Content-Security-Policy。 我尝试设置Content-服务器响应对象中的Security-Policy标头属性,但始终只发送“ default-src'self'”。似乎HTTPS模块会覆盖我指定的内容。 我也尝试使用 helmet-csp npm包,
..
使用Selenium IDE调用CSP阻止的eval()
我有一个在 Selenium IDE 中开发的硒测试。我在此套件中有一个步骤应在文本字段中键入一个值。它在该步骤失败,给出以下错误: 18。单击id = firstName失败:11:12:59 调用eval()被CSP阻止 解决方案 CSP 内容安全政策(CSP)充当增加了一层安全性,有助于检测和缓解攻击,包括跨站点脚本攻击 (XSS)和
..
在网站B上使用nginx proxy_pass来提供内容时,如何覆盖网站A的内容安全策略?
当我在站点B上使用nginx proxy_pass时,是否有方法可以覆盖域/站点A设置的内容安全策略。 站点在其域上定义的Content-Security-Policy。 网站B充当网站A的反向代理。 如何覆盖内容-从网站B提供内容时的安全策略? 我如何在nginx代理服务器通行证中实现这一目标? 我当前的nginx服务器块如下所示: serv
..
为什么禁止内联脚本(内容安全策略)?
我想知道规范中的报价: ( https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html ) 要获得最大的好处,作者将需要将所有内联脚本和样式脱机,例如移至外部脚本,因为用户代理无法确定攻击者是否注入了内联脚本。 排除所有内联脚本是一项耗时的任务。 我的问题是从安全角
..