content-security-policy 第9页 - IT屋-程序员软件开发技术分享社区

内容安全策略的connect-src指令是否允许您发出跨域请求?

在内容安全策略中指定connect-src指令是否放宽了浏览器的原始策略，并允许您发出跨源XHR请求?还是该指令仅用于限制已经合法的XHR(即，相同的原始呼叫或CORS启用的呼叫)? 解决方案 connect-src指令不会放宽同源策略；假设浏览器已经允许您连接到它们(例如，通过CORS)，它只是指定了您可以连接到的源列表. 通常，内容安全策略是您作为作者可以用来限制页面功能的注释. ..

发布时间：2020-07-19 18:35:38 security browser-security content-security-policy 其他开发

内容安全策略在Internet Explorer 11中不起作用

在我的asp.net核心应用程序中，对于每个响应，我都添加了内容安全策略标头.我了解对于IE，标头名称为X-Content-Security-Policy，对于其他浏览器(如chrome)，其标头名称为Content-Security-Policy 标头值如下所示，其中每个响应的nonce不同. default-src 'none'; script-src 'self' 'non ..

发布时间：2020-07-07 19:53:31 internet-explorer asp.net-core internet-explorer-11 content-security-policy coreclr 其他开发

如何实施内容安全策略?

有很多不错的文章解释了CSP的选项，例如: http://www.html5rocks.com/zh-CN/tutorials/security/content-security-policy/ 也许这是完全显而易见的，因为我找不到任何好的示例，但是您实际上如何实践CSP? 在PHP中，您可以在您服务的页面上设置页眉，但是如果您只有HTML文件，该怎么办?您是否必须通过Web服务器，A ..

发布时间：2020-07-03 07:14:01 php security content-security-policy PHP

内容安全策略随机数不适用于事件处理程序属性

我正在将CSP标头添加到要采用严格策略之前还有很长的路要走的网站.有很多内联脚本，因此我使用nonce-来允许特定的内联脚本.我发现它不适用于带有src的脚本标记的onload属性.这是一个示例: // header: Content-Security-Policy: script-src self https: 'nonce-d3adbe3fed' ..

发布时间：2020-07-01 19:46:23 javascript content-security-policy nonce 前端开发

JavaScript click()方法只能在Chrome扩展程序中使用一次

我正在尝试在Chrome扩展程序中下载多个文件.以下代码创建到文件的虚拟链接，然后触发.click()事件，该事件下载文件. 问题在于只有第一个.click()事件会触发下载.随后的.click()事件将被忽略. 这是 manifest.json : { "name": "Simple File Downloader", "version": "0.1", "permiss ..

发布时间：2020-06-27 20:57:32 javascript jquery google-chrome google-chrome-extension content-security-policy 前端开发

更新至iOS 10后，Cordova应用程序无法与Dynamics导航Web服务(ODATA)连接

我们正在使用Cordova开发应用程序，该应用程序将信息与Microsoft Dynamics导航2013中间层提供的ODATA Web服务进行同步. 在Android下，连接没有问题，在iOS 8和9下，它也可以正常工作.在使用iOS 10的设备上，连接不起作用，并返回HTTP 400错误请求错误. 连接具有以下结构(这是测试代码，适用于Android，iOS 8和9，但不适用于iOS 10) ..

发布时间：2020-06-20 19:33:02 javascript web-services cordova ios10 content-security-policy 前端开发

Cordova 5.1.1“出现网络错误"；当我从Cordova Android Webview调用网络URL时，onReceivedError方法中的错误消息

我正在使用Cordova 5.1.1.我想从android的CordovaWebview调用网络URL.我的Android操作系统版本为4.4.2.这是我来自Android Side的代码. Android content_main.xml文件:- ..

发布时间：2020-06-20 19:21:57 cordova cordova-plugins content-security-policy android-security cordovawebview 其他开发

iOS拒绝连接，因为它既没有出现在内容安全策略的connect-src指令中也没有出现在default-src指令中

因此，我制作了一个使用socket.io进行操作的phonegap应用. 我有以下内容安全策略(CSP) ..

发布时间：2020-06-20 19:08:52 ios cordova security webkit content-security-policy 移动开发

在移动应用程序中嵌入具有CSP 2.0的Iframe:问题

使用Ionic框架构建混合应用程序，我需要将Iframe嵌入到我的页面之一.我的问题是，装有iframe的页面确实具有以下CSP: "frame-ancestors http://foo.somedomain.com" 在我的浏览器上可以正常工作.但是，每当我在应用程序本身上尝试此操作时，由于以下原因，将不会加载内容: 拒绝在框架中显示" http://foo.somedomain ..

发布时间：2020-06-20 19:04:03 cordova iframe ionic-framework content-security-policy 其他开发

如何在Cordova中正确定义Content-Security-Policy?

我已经在为我的Cordova应用程序定义我的内容安全策略上苦苦挣扎了几天. 我的第一个问题是:我是否必须在Cordova中添加CSP?似乎Cordova默认情况下为CSP添加了元标记，并添加了白名单插件，要求为每个页面定义CSP. 如果我必须定义: 如何为我的需要正确定义指令: 我正在添加一些js文件，css文件，并具有内联js代码以及样式.我已经为我的页面添加了此CSP. ..

发布时间：2020-06-20 18:56:48 cordova content-security-policy 其他开发

Cordova-拒绝从设备连接到api(内容安全策略)

我正在使用Visual Studio的Apache Cordova工具. 当我使用Ripple构建应用程序时，一切都很好.但是当我将其构建到我的android设备上时，该应用程序拒绝连接到我的外部API. 这是JavaScript控制台日志中的错误: 拒绝连接到" http://XXX.herokuapp.com/api/posts/0/5 "，因为它违反了以下内容安全策略指令: ..

发布时间：2020-06-20 18:51:09 node.js cordova visual-studio-cordova content-security-policy 其他开发

直到与iOS交互，Cordova设备才准备在iOS中启动

我有一个非常奇怪的错误，即在用户与操作系统本身进行交互之前，在iOS设备中不会启动deviceready事件，即，按下前按钮，向下显示通知中心或向上拖动设备设置用户一旦开始拖动iOS通知中心，便会触发设备就绪. 像这样简单的事情是行不通的: ..

发布时间：2020-06-20 18:46:52 cordova content-security-policy cordova-ios 其他开发

拒绝加载图片，因为它违反了内容安全策略-Cordova

我正在尝试按照代码推送文档部署我的应用程序.然后，我将以下内容安全性添加到我的应用程序index.html 中 ..

发布时间：2020-06-20 18:46:47 cordova content-security-policy 其他开发

内容安全政策问题

我在htaccess中使用以下代码，但由于某些原因，我在控制台中收到一条错误消息。知道问题是什么吗？谢谢标头设置了Content-Security-Policy“ script-src'self'https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cd ..

发布时间：2020-05-30 19:12:04 facebook .htaccess content-security-policy 其他开发

如果在服务器上启用了内容安全策略，如何使用书签将脚本注入页面?

我有一个使用jQuery并分析页面上某些元素的小书签.要使用jQuery，我正在动态创建一个脚本标签(以src作为jQuery URL)并附加到head标签上.这在许多站点上都很好.但是，像Facebook这样的网站很少，其bookmarklet无法将外部JS文件注入dom.我知道这种行为是由于响应标头“内容安全策略" 禁止包含来自任何其他未授权域的脚本.这是为了禁止XSS攻击. 我有一个真 ..

发布时间：2020-05-28 23:44:34 security bookmarklet policy content-security-policy 其他开发

用于允许Web套接字的content-security-policy元标记

情况:phonegap serve的自动重装被content-security-policy元标记阻止添加内容安全策略可防止自动重新加载phonegap serve实用程序.它基于cordova serve构建，但是会在文件编辑时自动重新加载应用程序.通过在index.html中注入socket.io来工作.我应该在CSP meta标记中指定什么，以允许套接字连接到我的笔记本电脑. ..

发布时间：2020-05-26 20:27:16 cordova websocket socket.io phonegap-plugins content-security-policy 其他开发

内容安全策略错误https://ssl.gstatic.com

我在以下屏幕截图中捕获到错误: 它显示为: 拒绝将字符串评估为JavaScript，因为在以下内容安全策略指令中不允许使用'unsafe-eval'脚本源:"default-src文件:data:chrome-extension: 我在做什么错，我该如何解决 Content-Security-Policy 错误? 下面是我的index.html中的元标记: ..

发布时间：2020-05-20 00:12:39 cordova google-chrome-app onsen-ui content-security-policy 其他开发

内容安全政策Internet Explorer错误

我添加了Content-Security-Policy，它可以在Chrome，Firefox和Opera中正常工作，但是在Internet Explorer 11中却出现此错误“无法显示此页面" add_header Content-Security-Policy "connect-src 'self' wss://example.com/ws/; ..

发布时间：2020-05-17 21:30:49 php nginx content-security-policy PHP

当前将Content-Security-Policy与modernizr结合使用的最佳做法是什么?

我们希望使用Content-Security-Policy保护我们的网站，即使设置为允许内联脚本(default-src 'self'; script-src 'self' 'unsafe-inline')，加载modernizr(2.6.2)也会产生4种违反CSP的行为: 我已升级到开发版本的最新版本(3.6.0)，现在它会产生30多个违反CSP的行为: 我在modernizr网站上 ..

发布时间：2020-05-10 19:55:30 content-security-policy modernizr 其他开发

Edge忽略内容安全策略中的script-src

我有以下内容安全政策 value="default-src 'self' style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://svc.webspellchecker.net; img-src 'self' data: ht ..

发布时间：2020-05-09 20:16:52 microsoft-edge content-security-policy 其他开发

content-security-policy相关内容