我需要对我们的网站进行一些更改,因为我们的 CSP 阻止 Safari 访问它。另外,该网站的整体安全评级,说得好听一点,相当糟糕。 现在,有什么方法可以在本地测试对 CSP 所做的更改,而无需部署到服务器吗?我尝试了 ngrok,但这似乎不起作用(不传输标头)。 我对此很陌生,所以任何提示将不胜感激!
更新:您现在可以通过覆盖 Chrome 中的响应标头来执行此操作:https://developer.chrome.com/docs/devtools/overrides/#override-headers
您可以使用 Fiddler 来完成此操作。修改 FiddlerScript 并在 OnBeforeResponse 函数中插入以下代码:
if (oSession.uriContains('<insert relevant part of url here>')){
oSession.ResponseHeaders.Remove("Content-Security-Policy"); //If you want to replace an existing CSP
oSession.ResponseHeaders.Add("Content-Security-Policy", "<csp value>");
}
另一种选择是部署 Content-Security-Policy-Report-Only。您将在浏览器控制台中看到所有违规行为为错误,但实际上不会阻止任何内容。